2020-12-14 10:31

SolarWinds hackat en vecka efter FireEye – skadlig kod i företagets uppdateringar

It-säkerhetsleverantören SolarWinds meddelar att de råkat ut för ett hack mot leveranskedjan av uppdateringar för Applikationen Orion. Detta sker bara en vecka efter att FireEye blev hackat, och SolarWinds kundlista ger säkerhetsbranschen kalla kårar.

SolarWinds är ett mycket välrenommerat amerikanskt företag inom it-säkerhet. Nu meddelar företaget att de råkat ut för ett hack mot leveranskedjan av uppdateringar för övervakningsapplikationen Orion. Detta sker bara en vecka efter att det lika välrenommerade FireEye meddelade att de blivit hackade, skriver The Register.

FireEye är också direkt inblandade i utredningen av hacket mot SolarWinds, tillsammans med federala polismyndigheten FBI. Till skillnad från fallet med FireEye pekar man nu ut en specifik grupp som misstänkta för attacken – den ryska statssponsrade hackergruppen APT29 också kända som Cozy Bear.

Installerat främmande kod

Flera faktorer gör angreppet mycket allvarligt, dels handlar det om en attack mot leveranskedjan av uppdateringar för applikationen Orion. När SolarWinds kunder installerat en uppdatering från SolarWinds har de samtidigt installerat den främmande koden.

Dels handlar det om just kunderna – det är klart enklare att lista vilka S&P 500-företag, teleoperatörer, försvarsgrenar och säkerhetskritiska myndigheter som inte står på SolarWinds kundlista.

Om misstankarna stämmer har Cozy Bear-gruppen lyckats komma åt SolarWinds innersta system, där de fått in sin skadliga kod i en dll-fil med namnet SolarWinds.Orion.Core.BusinessLayer.dll – en digitalt signerad systemfil som nu innehåller en bakdörr som kommunicerar över http med tredjepartsservrar.

Ligger dold i veckor

Dll-filen har alltså distribuerats till SolarWinds kunder genom fullt legitima uppdateringar. När den väl installerats ligger den tyst i två veckor, men när den väl vaknar tar den emot och exekverar kommandon som inkluderar att skicka och ta emot filer, exekvera program, profilera värdsystemet, starta om maskiner och stänga av systemtjänster.

Angriparna måste också ha utfört en grundlig analys av SolarWinds protokoll och andra systemspecifika egenskaper. Den skadliga koden gömmer sin aktivitet i SolarWinds egna protokoll och är mycket svår att upptäcka. Angriparna måste ha penetrerat SolarWinds system långt före mars i år, företagets vd Kevin Thompson skriver att SolarWinds skickat ut den infekterade dll-filen i uppdateringar mellan mars och juni i år.

Läs också:
FireEye hackat av främmande makt – hemliga ”Red Team”-vapen stulna
MSB varnar för växande hot mot vården – ransomware ökar kraftigt

Lars Dobos

Senaste nytt

2023-06-10 07:47Computer Sweden Viktor Eriksson Forskare skapar verktyg för att avslöja Chat GPT-texter
2023-06-09 15:35Computer Sweden Viktor Eriksson Nvidia investerar i den generativa AI-startupen Cohere
2023-06-09 13:32Computer Sweden Computer Sweden AI-skapade nakenbilder används för utpressning
2023-06-09 12:01Computer Sweden Joakim Arstad Djurberg Nu har Visma schemalagt nästa förvärv
2023-06-09 11:17Computer Sweden Mikael Markander Google presenterar ramverk som ska göra AI mer säkert

100 Senaste

Besöksadress: Magnus Ladulåsgatan 65 106 78 Stockholm Tel: 08-453 60 00

Foundry

Sajter om it & teknik

CIO SwedenIt-strategi, affärsnytta och kundrelationer.
Computer SwedenDagliga nyheter om it, telekom och affärer.
IDG.seDe viktigaste nyheterna från sajterna i vårt nätverk.
M3Sveriges prylsajt.
MacWorldAllt om Mac, OS X, Iphone och Ipad.
PC för AllaSveriges största och mest lästa datortidning.
SmartworldDin guide till det smarta hemmet.

Tjänster

Karriär & ledarskap

Event

Stäng

Meny

IT för proffs

Het teknik

Samhälle & politik

Big Tech

Om

Lars Dobos

SolarWinds hackat en vecka efter FireEye – skadlig kod i företagets uppdateringar

Installerat främmande kod

Ligger dold i veckor

Lars Dobos

IDG.se

Nyttiga länkar

Om

IDG.se

Nordens största it-nätverk

Foundry

Sajter om it & teknik

Tjänster

Karriär & ledarskap

Event