Комментарии 23
Интересно, какая череда событий и децствий привела к обнаружению бекдора
… это серьёзный фейл антивирусных компаний...Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».
… невозможно установить разработчиков программы...Хм, ЭЦП на что? Типа, чья подпись тот и нехороший человек! Того бы и в кутузку (если б не презумпция невиновности в уголовном праве). Но… ущерб точно с них, весь, до последней копеечки!
Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».
Теоретически они могли бы обнаружить, что с обновлением прилетела заражённая библиотека. Впрочем, в ней там довольно много способов обнаружить антивирусы используется.
российским хакерам из группировки APT29 (Cozy Bear), исходя из… физического проникновения в офис жертвы.
Это наиболее непонятно. Почему именно APT29, если есть физическое проникновение?
О том, что виновата APT29, заявил Washington Post "со ссылкой на собственные источники". И 18 декабря Помпео сказал "он верит, что это были русские".
Касательно "физического проникновения" — мне кажется, это переводчик ошибся. В статье Microsoft перечислен краткий список того, что делали атакущие. Первый пункт — вторжение через Orion, второй
Once in the network, the intruder then uses the administrative permissions acquired through the on-premises compromise to gain access to the organization’s global administrator account and/or trusted SAML token signing certificate.
То есть скорее всего имеется в виду не физический доступ, а развитие атаки после внедрения бэкдора.
И это к тому же про атаки уже на клиентов SolarWinds. Про внедрение вредоносного кода в саму библиотеку там написано
research indicates that the attackers might have compromised internal build or distribution systems of SolarWinds…. Microsoft security researchers currently have limited information about how the attackers compromised these platforms.
Собственно от FireEye, от Microsoft или самих SolarWinds я такого утверждения не нашёл. Так что мне кажется, что про "злых русских" придумали политики. Демократам сейчас это в тему.
А Трамп намекает на Китай))
"Утащить приватник" мало, надо еще подписанное внедрить в легитимные пайплайны распространения.
habr.com/ru/news/t/533324
Хакеры SolarWinds размазали свои байты в HTTP-трафике через регулярные выражения