Kompanitë të infektuar nga e ashtuquajtura fushatë sulmuese SolarWinds tani kanë një toolkit falas që Microsoft përdori për të çrrënjosur malware në kodin e vet.
Microsoft po ofron CodeQL queris që përdori për të analizuar kodin tij pas zbulimit të sumit nga SolarWinds. CodeQL është një tool që mund të gjendet në GitHub; queris që Microsoft përdori me kodin rootQQ CodeQL që përmban ngjashmëri në modelet dhe funksionet e SolarWinds. Këto pyetje mund të përdoren në çdo softuer për shenjat e fushatës sulmuese SolarWinds.
Një pjesë e malware të përdorur në sulmet SolarWinds është e ashtuquajtura Teardrop që daton që nga viti 2017 dhe duket i përdorur nga një grup të spiunazhi kibernetik rus.
Teardrop është përdorur para SolarWinds nga ky ekip i hakimi.
Teardrop, u emërua nga FireEye në analizën e tyre të malware, që u përdor për të ekzekutuar Cobalt Strike BEACON, a command-and-control (C2) tool në open source Cobalt Strike tooklit.
FireEye për herë të parë doli në publik në dhjetor për sulmin që kishte pësuar nga një azhornim i dëmshëm i SolarWinds Orion software dhe red-team tools ishin vjedhur në sulm. FireEye fillimisht përshkroi Teardrop -a dynamic link library (DLL) file i ardhur përmes Sunburst Trojan (malware i fazës së parë të sulmit) – një malware që nuk ishte parë më parë.
“TEARDROP nuk ka mbivendosje të kodit me ndonjë malware të mëparëshëm ,” shkroi FireEye në raportin e tij të hollësishëm në dhjetor për malware SolarWinds.
Teardrop nuk ishte ndërtuar domosdoshmërisht vetëm për sulmet SolarWinds, të cilat u shkaktuan në 2020 u testuan në tetor 2019. Por shumë më herët sesa viti 2019.
Konfirmohet që sulmuesi prapa SolarWinds është një grup i vetëm APT jashtë Rusisë, që synon organizatat amerikane. Supozohet se është puna e SVR ruse dhe ekipit të saj të hakimit të njohur si Cozy Bear.
Rreth 95% e organizatave të viktimave janë në SH.B.A., ka shumë të ngjarë të jetë një fushatë spiunazhi kibernetik siç besojnë shumica e ekspertëve.
CodeQL
Lancimi i Microsoft i query CodeQL mund të ndihmojë në çrrënjosjen e malware në rrjetin e një viktime.
“Çdo gjë që është në gjendje të kërkojë sjellje ose objekte të nivelit të presë do të ndihmojë [të zbulojë] nëse ka kompromise nga Teardrop ose Sunburst sepse komandimi dhe kontrolli në këtë pikë ka shumë të ngjarë të jetë jashtë linje”, vëren Sherstobitoff.
Microsoft tha se the open source release është një përpjekje për të ndarë gjetjet e saj mbi sulmin, të cilin e quan Solorigate.
“Me sofistikimin në rritje të sulmeve si Solorigate, është më e rëndësishme se kurrë që komuniteti i sigurisë të punojë së bashku në transparencë për të ndarë mësimet . Meqenëse këto sulme u zbuluan, ne kemi punuar ngushtë prapa skenave me komunitetin e sigurisë dhe kemi botuar dhjetëra azhornime teknike dhe mjete për të fuqizuar mbrojtësit, “tha një zëdhënës i Microsoft.
