FireEye paljasti hiljattain laajan hyökkäysoperaation, jossa valtiollisiksi tahoiksi oletetut hyökkääjät ujuttivat suosittuun SolarWinds Orion -yritysohjelmistoon Sunburstiksi (FireEye) ja Solorigateksi (Microsoft) ristityn troijalaisen. Sunburstin takaa uskotaan löytyvän APT29- ja Cozy Bear -nimillä tunnettu hakkeriryhmä, jonka epäillään olevan kytköksissä Venäjän tiedustelupalveluun. Itse hyökkäys on alkanut jo viime keväänä, vaikka se selvisi vasta nyt.
Nyt Microsoft on kertonut sen tekemistä toimista hyökkäystä vastaan. Yhtiön mukaan se poisti heti hyökkäyksen tultua julki manuaalisesti digitaaliset sertifikaatit, joita troijalaisen saastuttamat tiedostot käyttivät. Käytännössä tämä tarkoittaa, ettei yksikään Windows-kokoonpano suostu suorittamaan kyseisiä tiedostoja, koska se näkee ne epäluotettavina.
Tämän lisäksi Microsoft päivitti Windows Defender -ohjelmiston tunnistamaan käytetyn troijalaisen vastaisen varalta ja varoittamaan käyttäjiä siitä. Keskiviikkona yhtiö kuitenkin päätti muuttaa Windows Defenderin vakiotoiminnon Solorigatea kohtaan pelkästä varoittamisesta automaattiseen karanteeniin. Saastuneiden tiedostojen siirtäminen automaattisesti karanteeniin on tehokasta, mutta samaan aikaan se saattaa aiheuttaa myös esimerkiksi järjestelmän kaatumisen.
Microsoft on lisäksi yhdessä kumppaniensa kanssa eristänyt hyökkääjien käyttämän avsvmcloud.com-sivuston ns. sinkhole-taktiikalla. Sinkholella tarkoitetaan tapaa, jossa palvelin eristetään DNS-palvelinten avulla muulta internetiltä ohjaamalle niille tarkoitetun liikenteen muualle. Tämän myötä haittaohjelma menettää kyvyn kommunikoida isäntäpalvelimensa kanssa ja jää ilman toimintaohjeita.
Kuten pokerissa niin ei hyvä pelaaja kerro mitään kädestään ilmeillään.
Tokkopa hyökkäys oli kertakäyttöinen muuten kuin jotta käyttivät muutaman kortin, mutta vain nimenomaan päästäkseen niiden avustuksella hiukan eteenpäin?
Kokemuksella, aina löytyy se muutama prosentti laitteista/palvelimista joita ei muisteta/pystytä jostain syystä päivittämään. Vanhaa rautaa ja vanhoja softia joita ei ole varaa päivittää tmv. Niistähän säästitte ja aikanaan sitten nautitte säästöistänne
@IsoLuumu Heh, ei varmaankaan 🙂
Mutta kyllä tavallinen loppukäyttäjä on aika hampaaton näissä tilanteissa. Odottelee päivityksiä, ja parhaassa tapauksesa on saanut koneelleen saastuneen version ja Winkka ei enää käynnisty, kun järjestelmä bannää sen saastuneen version. Ihmettelee sitten miksi Windows lakkasi toimimasta, kun ”erehtyi” asentamaan päivityksen, joka estää tuon troijalaisen. Kehenköhän syyttävä sormi osoittaa?
Kotikäyttäjiä tämä nyt ei pahemmin koske, kun tuskin ajavat Solarwinds Orion -järjestelmän komponentteja koneellaan.