מיקרוסופט זיהתה קבוצת האקרים נוספת שהתקינה דלת אחורית בתוכנת סולארווינדס
הסיבה לפעילות הקבוצה הנוספת – גידול במספר קורבנות המתקפה ● חברת אבטחת הסייבר Recorded Future זיהתה 198 קורבנות של התקיפה, שנפגעו באופן פעיל דרך הדלת האחורית ● חוקרים ציינו, כי המספר הסופי עשוי לעלות עוד יותר
מסתבר שתוכנת Orion זוכה לפופולריות בקרב האקרים: חוקרי מיקרוסופט (Microsoft) גילו, כי קבוצת האקרים – שנייה, לא מזוהה, התקינה דלת אחורית ב-Orion, תוכנת ניהול הרשת של סולארווינדס (SolarWinds), שאפשרה מסע ריגול מסיבי ברשת, מכיוון שמספר הקורבנות במתקפה גדל.
הדלת האחורית השנייה, שזכתה לכינוי SUPERNOVA על ידי מומחי אבטחה, נראית שונה מהמתקפה שנעשתה על ידי קבוצת ההאקרים הרוסית APT29, שהכניסה דלת אחורית בשם SUNBURST לתוכנת Orion. החוקרים העלו את האפשרות, כי יריבים מרובים עשו, או יעשו שימוש בנוזקה לטובת מתקפות מקבילות, אולי בלא ידיעה או תיאום ביניהם.
בבלוג האבטחה שלה כתבה הענקית מרדמונד, כי "חקירת כל ההיבטים בנוזקה שהותקנה על תוכנת סולארווינדס, הובילה לגילוי של נוזקה נוספת, שמשפיעה גם על תוכנת Orion. אולם אנו קובעים, כי ככל הנראה היא אינה קשורה לפריצה זו – אלא משמשת שחקן איומים אחר".
הדלת האחורית השנייה היא פיסת נוזקה, אשר מחקה את מוצר Orion של סולארווינדס, אך היא אינה "חתומה דיגיטלית" כמו בנתקפת הענק הראשונה. עובדה זו מצביעה על כך, שקבוצת ההאקרים השנייה לא חולקת אותה גישה למערכות הפנימיות של סולאר-ווינדס.
לא ברור אם SUPERNOVA נפרסה כנגד יעדים כלשהם, כמו לקוחות של סולארווינדס. חוקרים העריכו, כי הנוזקה נוצרה בסוף מרץ, בהתבסס על סקירת זמני ההדרה (קומפילציה) של הקובץ. למרות זאת, מומחים העריכו כי ה"טיפול" בתוכנת Orion החל כבר באוקטובר 2019.
דובר של סולארווינדס לא התייחס ל-SUPERNOVA, אך אמר, כי "החברה נותרה ממוקדת בשיתוף פעולה עם לקוחות ומומחים כדי לחלוק מידע ולעבוד כדי להבין טוב יותר את הנושא הזה. אנו עדיין בימים הראשונים של החקירה".
בתוך כך, חברת אבטחת הסייבר Recorded Future זיהתה 198 קורבנות של התקיפה, שנפגעו באופן פעיל דרך הדלת האחורית. חוקרים ציינו כי המספר הסופי עשוי לעלות עוד יותר.
תגובות
(0)