Microsoft blokkerer nå Sunburst-bakdøren som brukes i SolarWinds cyberangrep som har krevd mange ofre over hele verden.

Sunburst-bakdøren er et sentralt trekk ved det pågående forsyningskjedeangrepet, og utgivelsen av en global malware-signatur bør redusere trusselen betydelig.

Hva er SolarWinds cyberangrep?

I desember 2020 kunngjorde flere amerikanske regjeringsbyråer at de var offer for en omfattende hackingoperasjon. Bakdøren for angrepet ble satt inn ved hjelp av en ondsinnet oppdatering via SolarWinds Orion IT-administrasjons- og fjernovervåkningsprogramvare.

I skrivende stund har SolarWinds-hacket hevdet det amerikanske statskassen, sammen med avdelingene av hjemlandssikkerhet, stat, forsvar og handel som ofre, med potensial for flere avsløringer.

I slekt: Disse sikkerhetsekspertene gjør livet ditt sikrere

Disse 10 sikkerhetsekspertene gjør livet ditt sikrere

Mange "sikkerhetseksperter" har ikke den kompetansen de hevder. Her er flere sikkerhetseksperter som gjør det, og hva de gjør for å forbedre sikkerheten.

Den virkelige omfanget av SolarWinds-angrepet er ennå ikke kjent. Snakker til BBC, sa cybersikkerhetsforsker Prof Alan Woodward: "Etter den kalde krigen, er dette en av de potensielt største penetrasjonene fra vestlige regjeringer som jeg er klar over."

Hva er Sunburst Backdoor?

Et så stort angrep tok måneder, om ikke år med planlegging. Angrepet ble satt i gang med levering av en uoppdaget ondsinnet oppdatering til SolarWinds Orion-programvaren.

Uten å vite SolarWinds og deres brukere, hvorav mange er offentlige avdelinger, hadde en trusselsaktør infisert en oppdatering.

Oppdateringen ble rullet ut til minst 18 000 og potensielt opptil 300 000 kunder. Når aktivert, utløste oppdateringen en trojanisert versjon av Orion-programvaren, slik at angriperen fikk tilgang til datamaskinen og det bredere nettverket.

Denne prosessen er kjent som et forsyningskjedeangrep. Hacket ble oppdaget av FireEye, som selv ble utsatt for et relatert høyprofilerte databrudd i desember 2020.

I slekt: Ledende cybersecurity Firm FireEye truffet av Nation-State Attack

De FireEye-rapport Sammendrag lyder:

Skuespillerne bak denne kampanjen fikk tilgang til mange offentlige og private organisasjoner over hele verden. De fikk tilgang til ofre via trojaniserte oppdateringer av SolarWinds Orion IT-overvåkings- og administrasjonsprogramvare. Denne kampanjen kan ha startet allerede våren 2020 og pågår for tiden. Post kompromissaktivitet etter dette forsyningskjedekompromisset har inkludert sidebevegelse og datatyveri.

Sunburst er altså navnet FireEye sporer cyberangrepet med, og navnet gitt til skadelig programvare distribuert gjennom SolarWinds-programvaren.

Hvordan blokkerer Microsoft Sunburst Backdoor?

Microsoft lanserer deteksjoner for sikkerhetsverktøyene sine. Når malware-signaturen ruller ut til Windows Security (tidligere Windows Defender), vil datamaskiner som kjører Windows 10 ha beskyttelse mot malware.

I henhold til Microsoft 365 Defender Threat Intelligence Team blogg:

Fra og med onsdag 16. desember klokken 8:00 PST begynner Microsoft Defender Antivirus å blokkere de kjente skadelige SolarWinds-binærfilene. Dette vil karantene i binærfilen selv om prosessen kjører.

Microsoft tilbyr også følgende ekstra sikkerhetstrinn hvis du støter på Sunburst-skadelig programvare:

  1. Isoler den infiserte enheten eller enhetene umiddelbart. Sjansen er at hvis du finner skadelig programvare fra Sunburst, er enheten din sannsynligvis under kontroll av en angriper.
  2. Hvis noen kontoer ble brukt på den infiserte enheten, bør du vurdere disse kompromitterte. Tilbakestill ethvert passord som er knyttet til kontoen, eller fjern kontoen helt.
  3. Hvis mulig, begynn å undersøke hvordan enheten ble kompromittert.
  4. Hvis det er mulig, begynn å søke etter indikatorer for at skadelig programvare har flyttet til andre enheter, kjent som lateral bevegelse.

For de fleste er de to første sikkerhetstrinnene de viktigste. Du kan også finne mer sikkerhetsinformasjon på SolarWinds nettstedet.

Det er ingen bekreftelse på angripernes identitet, men arbeidet antas å være arbeidet til et svært sofistikert og godt ressurssterkt nasjonalstatens hackingteam.

E-post
Trenger du virkelig nettforsikring? 4 spørsmål å stille før du får det

Cyber-kriminalitetsforsikring er en voksende industri som mange organisasjoner utforsker. Men er det en verdig investering?

Relaterte temaer
  • Sikkerhet
  • Tekniske nyheter
  • Windows Defender
  • Skadevare
  • Bakdør
Om forfatteren
Gavin Phillips (708 publiserte artikler)

Gavin er Junior Editor for Windows og Technology Explained, en vanlig bidragsyter til den virkelig nyttige podcasten, og var redaktør for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.

Mer fra Gavin Phillips

Abonner på vårt nyhetsbrev

Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Ett steg til…!

Bekreft e-postadressen din i e-posten vi nettopp sendte deg.

.