Microsoft on vastannut kumppaneineen SolarWinds-hyökkäyksenä tunnettua haittaohjelmaoperaatiota vastaan muun muassa ns. sinkhole-taktkiikalla.

FireEye paljasti hiljattain laajan hyökkäysoperaation, jossa valtiollisiksi tahoiksi oletetut hyökkääjät ujuttivat suosittuun SolarWinds Orion -yritysohjelmistoon Sunburstiksi (FireEye) ja Solorigateksi (Microsoft) ristityn troijalaisen. Sunburstin takaa uskotaan löytyvän APT29- ja Cozy Bear -nimillä tunnettu hakkeriryhmä, jonka epäillään olevan kytköksissä Venäjän tiedustelupalveluun. Itse hyökkäys on alkanut jo viime keväänä, vaikka se selvisi vasta nyt.

Nyt Microsoft on kertonut sen tekemistä toimista hyökkäystä vastaan. Yhtiön mukaan se poisti heti hyökkäyksen tultua julki manuaalisesti digitaaliset sertifikaatit, joita troijalaisen saastuttamat tiedostot käyttivät. Käytännössä tämä tarkoittaa, ettei yksikään Windows-kokoonpano suostu suorittamaan kyseisiä tiedostoja, koska se näkee ne epäluotettavina.

Tämän lisäksi Microsoft päivitti Windows Defender -ohjelmiston tunnistamaan käytetyn troijalaisen vastaisen varalta ja varoittamaan käyttäjiä siitä. Keskiviikkona yhtiö kuitenkin päätti muuttaa Windows Defenderin vakiotoiminnon Solorigatea kohtaan pelkästä varoittamisesta automaattiseen karanteeniin. Saastuneiden tiedostojen siirtäminen automaattisesti karanteeniin on tehokasta, mutta samaan aikaan se saattaa aiheuttaa myös esimerkiksi järjestelmän kaatumisen.

Microsoft on lisäksi yhdessä kumppaniensa kanssa eristänyt hyökkääjien käyttämän avsvmcloud.com-sivuston ns. sinkhole-taktiikalla. Sinkholella tarkoitetaan tapaa, jossa palvelin eristetään DNS-palvelinten avulla muulta internetiltä ohjaamalle niille tarkoitetun liikenteen muualle. Tämän myötä haittaohjelma menettää kyvyn kommunikoida isäntäpalvelimensa kanssa ja jää ilman toimintaohjeita.

Lähteet: FireEye, GeekWire

This site uses XenWord.