Atacantes invadiram a infraestrutura da desenvolvedora de software SolarWinds. Segundo a FireEye, o ataque na supply chain introduziu um cavalo de Tróia nas atualizações do software comercial SolarWinds Orion para distribuir um malware chamado SUNBURST. Isso impacta diretamente os usuários do software, que ao atualizá-lo, são infectados. O arquivo de atualização trojanizado é um arquivo de patch do Windows Installer padrão que inclui recursos compactados associados à atualização.
A atividade pós-comprometimento do invasor aproveita várias técnicas para evitar a detecção e obscurecer sua atividade, mas segundo a FireEye, esses esforços também oferecem algumas oportunidades para detecção. Eles destacam ainda que a campanha é ampla, afetando organizações públicas e privadas em todo o mundo, incluindo empresas do governo, consultorias, companhias do setor de tecnologia e telecomunicações, e entidades extrativistas na América do Norte, Europa, Ásia e Oriente Médio.
A empresa diz ainda que deve haver vítimas adicionais em outros países e setores, notificando todas as entidades que foram afetadas. A FireEye está lançando assinaturas para detectar o ator da ameaça, que classificou como altamente qualificado. Elas são encontradas na página pública da empresa no GitHub.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.