[ad_1]

FireEye و شرکای GoDaddy و Microsoft یک سوئیچ به اصطلاح kill-swall علیه بدافزار SolarWinds Sunburst / Solarigate که توسط یک بازیگر مورد حمایت دولت برای ایجاد مصالحه در بخشهای مختلف دولت ایالات متحده و FireEye استفاده شده است ، کاهش داده است و برخی از تأثیرات احتمالی حمله گسترده را کاهش می دهد. .

این حمله سایبری سازش شبکه SolarWinds و درج کد در سیستم عامل مدیریت شبکه Orion بود که پس از آن در حدود 18000 سازمان مشتری توزیع شد و به عنوان وسیله ای برای حمله به قربانیان خود مورد استفاده قرار گرفت.

در بیانیه ای که در ابتدا به امنیت KrebsonFireEye گفت ، که برای اولین بار انتشار را اعلام کرد ، متوجه شد که بسته به آدرس IP که هنگام بدافزار به زیرساخت فرمان و کنترل خود (C2) با استفاده از avsvvmcloud فراخوانی می شود ،[.]دامنه com ، خود را خاتمه می دهد و از اجرای بیشتر جلوگیری می کند.

“این سوئیچ کشتار با غیرفعال کردن استقرارهای Sunburst که هنوز هم چراغهای avsvmcloud است ، بر عفونتهای Sunburst جدید و قبلی تأثیر می گذارد.[.]com ، “سخنگوی FireEye در بیانیه گفت.

با همکاری برای به دست گرفتن این دامنه و ایجاد یک رزولوشن سیستم نام دامنه wildcard (DNS) برای مجبور کردن آن به حل یک آدرس IP در لیست بلوک خود – در این مورد 20.140.0.1. – FireEye ، GoDaddy و مایکروسافت اطمینان حاصل کردند که Sunburst دیگر کار نخواهد کرد.

آدرس IP مورد نظر توسط مایکروسافت کنترل می شود ، احتمالاً به همین دلیل است که سازندگان Sunburst آن را به منظور مبهم کردن فعالیت خود ، به لیست بلوک های خود اضافه کرده اند.

با این حال ، FireEye ادامه داد که این لزوما برای همه قربانیان سان بورس دوا نیست ، زیرا در نفوذهایی که تا به امروز دیده است ، مهاجمان به سرعت درهای پشتی و سازوکاری بیشتری ایجاد کردند.

سخنگوی شرکت گفت: “این سوئیچ کشنده بازیگر را از شبکه های قربانی که درهای پشتی دیگری ایجاد کرده اند حذف نخواهد کرد.” “با این حال ، استفاده از نسخه های قبلا توزیع شده Sunburst برای بازیگر کار را دشوارتر خواهد کرد.”

در همین حال ، با فرارسیدن اطلاعات بیشتر در اطراف حمله ، س asالات برای SolarWinds همچنان افزایش می یابد. چهارشنبه 16 دسامبر ، محققان در Intel471 گفت که آنها بازیگران روسی زبان را دیده اند که تلاش می کنند دسترسی به SolarWinds را بفروشند تا سه سال پیش ، و ادعا کردند که فروشنده “ادعا شده است که تلاش کرده است بیشتر در شبکه SolarWinds و در نهایت به کد منبع محصولات آن کار کند”. این با روش حمله Sunburst جمع می شود.

محققان گفتند که از آن زمان دیگر بازیگران ادعا کرده اند که به شبکه SolarWinds دسترسی دارند ، از جمله شبکه ای با لینک به باند باج افزار REvil / Sodinokibi ، اگرچه این لزوما نشانه پیوند نیست.

Eran Farajun ، معاون اجرایی متخصص حفاظت از داده Asigra ، اظهار داشت که وی برای مدتی در مورد احتمال حمله به نرم افزار نظارت از راه دور و مدیریت (RMM) – مانند محصولات SolarWinds – به او هشدار داده شده است.

وی گفت: “RMM تهدید نرم افزاری برای حملات بود و نرم افزار پشتیبان گیری در سیستم عامل SolarWinds RMM Orion ادغام شده است.” “به همان روش هایی که RMM به خطر افتاد و به عنوان پروکسی برای عبور از شبکه منبع و ماشین آلات و استفاده از اطلاعات در فیلتر کردن مورد استفاده قرار گرفت ، یک عامل تهدید می تواند این کار را با سود باج افزار انجام دهد.

“همین امر در مورد پشتیبان گیری اتفاق می افتد. هنگامی که از طریق RMM وارد شدید ، این یک جست و خیز ، جست و خیز و پرش به برنامه پشتیبان یکپارچه است. بهترین استراتژی دفاعی این است که این برنامه های مهم را جدا نگه دارید و از آنها محافظت کنید زیرا یکی دیگر از سیستم های تولید حیاتی است. “

گزارشات دیگر در رسانه های ایالات متحده عملکرد افراد مرتبط با SolarWinds در آستانه این حادثه را زیر سال برده است ، پس از اینکه مشخص شد سرمایه گذاران اصلی اندکی قبل از افشای حمله ، میلیون ها دلار سهام شرکت را فروخته اند. سهام این شرکت از آن زمان تاکنون بیش از یک پنجم ارزش خود را از دست داده است.

بر اساس واشنگتن پست، دو سرمایه گذار مرتبط با معاملات مشکوک عبارتند از: سیلور لیک و توما براوو ، هر دو دارای سرمایه خصوصی خصوصی با مشخصات بالا با سرمایه گذاری گسترده در صنعت فناوری. بین آنها ، آنها 70٪ از SolarWinds را در اختیار دارند و دارای شش صندلی در هیئت مدیره آن هستند ، که به آنها امکان دسترسی به اطلاعات اصلی داخلی را می دهد. هر دو سرمایه گذار گفته اند که از حمله سایبری اطلاع نداشته اند و SolarWinds در این باره اظهار نظری نکرده است.

با توجه به اینکه هنوز دقیقاً مشخص نشده است که SolarWinds از چه زمانی از این حمله مطلع شده است ، زمان فعالیت تجاری تقریباً به طور قطع تحقیقات نظارتی را از سوی کمیسیون بورس و اوراق بهادار آغاز خواهد کرد.



[ad_2]

منبع: tadrisriazi-news.ir