ИБ-специалисты из компании Microsoft поделились подробностями о том, как кремлевским хакерам, атаковавшим цепочку поставок SolarWinds, удавалось оставаться незамеченными и скрывать свою вредоносную деятельность внутри сетей взломанных компаний. Информация была предоставлена экспертами по безопасности, входящими в исследовательские группы Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber Defense Operations Center (CDOC), пишет Security Lab.
Как выяснили эксперты, атаковавшие SolarWinds хакеры продемонстрировали ряд тактик, оперативную безопасность и изощренное поведение, которые резко снизили способность взломанных организаций обнаружить взлом. Некоторые примеры тактики уклонения включают:
Методическое устранение общих индикаторов для каждой скомпрометированной системы путем развертывания пользовательских имплантатов Cobalt Strike DLL на каждом компьютере;
Маскировка и смешивание с окружающей средой путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве;
Отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после;
Создание правил межсетевого экрана с целью минимизации исходящих пакетов для определенных протоколов перед запуском «шумных» действий по перечислению сетей (удаляются после завершения операций);
Тщательное планирование действий касательно перемещения по сети, предварительно отключив службы безопасности на целевых устройствах;
Как полагают эксперты, преступники использовали технику изменения временных меток артефактов, а также использовали процедуры и инструменты очистки, чтобы препятствовать обнаружению вредоносных DLL-имплантатов в уязвимых средах.
В декабре 2020 года стало известно, что правительственные структуры США и американские компании подверглись длительной и комплексной атаке хакеров, которых связывают с российскими спецслужбами. В частности, известно, что они проводили операцию с марта с использованием уязвимостей в программном обеспечении SolarWinds. От взлома пострадали Минфин США, Госдепартамент, Пентагон, Министерство энергетики, Национальное управление ядерной безопасности США, другие ведомства, а также большое количество американских компаний.
21 декабря глава аппарата избранного президента США Джо Байдена Рон Клайн заявил, что команда избранного президента Джо Байдена рассмотрит несколько вариантов наказания России за ее предполагаемую причастность, когда он вступит в должность. Речь может идти о финансовых санкциях и кибератаках на российскую инфраструктуру.
3 января Командующий кибервойсками США Пол Накасоне сообщил, что масштабная хакерская атака, о которой стало известно в середине декабря, могла затронуть 250 сетей, что значительно больше, чем было известно первоначально. При атаке были использованы серверы в США. В ходе расследования также выяснилось, что датчики раннего оповещения о взломах, которые Киберкомандование и Агентство национальной безопасности разместили в сетях.
Источник: ghall.com.ua
