Изследователите в областта на киберсигурността в Microsoft разкриха, че базирани в Китай хакери стоят зад неотдавнашните злонамерени атаки, които експлоатираха вече описаните и коригирани уязвимости в няколко продукта на SolarWinds.
Microsoft започна да разследва какъв е произходът на атаките над SolarWinds и да дава повече гласност на случая, след като пусна актуални корекции, с които да коригира уязвимостта в дистанционното изпълнение на код (RCE) в изпълнението на Serv-U на протокола Secure Shell (SSH).
„Microsoft откри 0-day експлойт за дистанционно изпълнение на код, използван за атака на FTP сървъри на SolarWinds, свързани със софтуера Serv-U при ограничени и целенасочени атаки. Центърът за разузнаване на заплахите на Microsoft (MSTIC) приписва тази кампания на DEV-0322, група, оперираща извън Китай, базирайки се на наблюдения за виктимологията, тактиката и процедурите, които хакерската група е използвала“, обясняват официално от софтуерния гигант в публикация в собствения си блог.
Без да споделят какви са били целите на последната хакерска атака, от Microsoft в публикацията в блога си отбелязват, че хакерската група DEV-0322 е известна в миналото с това, че е насочвала атаките си към субекти в сектора на американската отбранителна индустриална база, както и редица софтуерни компании, които предлагат продукти използвани от правителството, административните служби на САЩ и други органи, които имат значение за националната сигурност.
В допълнение към това, че хакерската група използва Китай като своя оперативна база, от Microsoft още казват, че инфраструктурата, от която хакерите реализират своите атаки, се състои от търговски VPN решения и компрометирани потребителски рутери.
Именно през тези устройства и услуги е започнало изпълнението на злонамерени процеси в основното приложение на Serv-U, маркирани от Microsoft Defender, което е дало възможност на Microsoft да идентифицира скорошната кампания срещу SolarWinds на хакерската група.
Тук трябва да отбележим, че това не е първият случай, в който китайски хакери са обвинени за отговорни в хакерски така, насочени срещу SolarWinds. Докато разнищват мащабна кампания за кибершпионаж през изминалата година, спонсорирана от Русия и извършена от руски държавни хакери, изследователите по сигурността откриват значителни съвпадения в целите на отделните хакерски атаки. Именно това навежда над мисълта, че хакерските атаки над продуктите на SolarWinds, които се използват от много правителствени органи в САЩ и частни компании, може да са били поръчани от правителствата на основните съперници на САЩ, както и да са имали тесни политически или икономически цели, с които са реализирани.
Вглеждайки се в ситуацията по-дълбоко, изследователите откриват доказателства, че базираната в Китай хакерска група, известна като Spiral, е използвала уязвимост в софтуера на SolarWinds, наречен Orion, като трамплин за достъп до .NET кодовете на приложението.