Microsoft обвинила китайских хакеров в новой атаке на SolarWinds
Центр Microsoft Threat Intelligence Center (MSTIC) сообщил, что группа хакеров провела новую атаку на программное обеспечение SolarWinds с помощью уязвимости нулевого дня. Microsoft назвала эту группировку DEV-0322, и предполагает, что она связана с Китаем.
Хакеры сосредоточили свою атаку на программном обеспечении SolarWinds Serv-U FTP с предполагаемой целью доступа к клиентам компании в оборонной промышленности США. Уязвимость, которую использовали хакеры, имеет номер CVE-2021-35211, и компания SolarWind уже исправила ее. Она обепечивает реализацию Serv-U протокола Secure Shell (SSH). Если SSH Serv-U имеет доступ в интернете, успешная эксплуатация даст злоумышленникам возможность удаленно запускать произвольные функции, позволяя им устанавливать программы или просматривать и изменять данные на сервере.
Данную атаку обнаружили при обычном сканировании Microsoft 365 Defender. Программное обеспечение обнаружило "аномальный вредоносный процесс", который Microsoft объясняет более подробно в своем блоге, однако ясно, что хакеры пытались сделать себя администраторами сервера Serv-U. SolarWinds сообщила об эксплойте нулевого дня в пятницу, 9 июля, уточнив, что все версии Serv-U от 5 мая и ранее были уязвимы. Компания выпустила исправление для решения этой проблемы. Всем, кто использует более старое программное обеспечение Serv-U, рекомендуется как можно скорее обновить его.
Хакерская группировка DEV-0322, по данным Microsoft, обычно атакует "объекты в секторе промышленной базы обороны США". Она "использует коммерческие решения VPN и скомпрометированные потребительские маршрутизаторы в своей инфраструктуре злоумышленников", - уточнили в Microsoft.
