Phát hiện mã độc thứ 3 trong cuộc tấn công vào SolarWinds

Mã độc thứ 3 trong chiến dịch tấn công SolarWinds đã lộ diện. Tuy nhiên, vẫn còn rất nhiều điều chưa biết về cuộc tấn công chủ đích được cho là xuất phát từ Nga.

Thêm một phần mềm độc hại khác được phát hiện trong cuộc tấn công vào SolarWinds. Tuy nhiên, vẫn còn thiếu một số yếu tố cần thiết để vẽ nên bức tranh hoàn chỉnh về chiến dịch khổng lồ nhắm vào các cơ quan và tập đoàn lớn của chính phủ Hoa Kỳ.

solarwind.jpg


SolarWinds và CrowdStrike tuần này đã nêu chi tiết về một phần mềm độc hại thứ 3, có tên Sunspot, được tìm thấy trong cuộc tấn công. Các chuyên gia cho biết, công cụ này đã được hacker tạo ra với khả năng ngụy trang tinh vi để đội ngũ SolarWinds không thể phát hiện.

Trước đó, tình báo Hoa Kỳ công khai chỉ trích Nga đứng sau cuộc tấn công. Các công ty bảo mật và nhà cung cấp thì thận trọng hơn về vấn đề xác định nguồn gốc chiến dịch.

Hacker đã đưa phần mềm độc hại vào bản cập nhật phần mềm Orion của SolarWinds, gửi tới khoảng 18.000 khách hàng của phần mềm này. Theo đánh giá của tình báo Hoa Kỳ, một số tổ chức đã bị tin tặc nhắm mục tiêu.

Thông tin điều tra, những kẻ tấn công có thể đã xâm nhập hệ thống lần đầu tiên vào tháng 9/2019. Hacker sử dụng Sunspot để chèn backdoor vào các bản cập nhật của Orion, bắt đầu từ 20/02/ 2020. Những kẻ này sau đó đã gỡ bỏ backdoor vào tháng 6 năm ngoái.

Chuyên gia cũng phát hiện một số điểm tương đồng giữa backdoor được cài và Kazuar, backdoor từng được sử dụng trong các chiến dịch gián điệp mạng của nhóm Turla. Nhóm hacker này cũng được cho là xuất phát từ Nga, được biết đến với các tên gọi khác như Snake, Venomous Bear, Uroburos, Group 88 và Waterbug.

Theo Dark Reading