Microsoft vastasi järein asein SolarWinds-hyökkäykseen

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
22 495
microsoft-security-protect-detect-respond-20201218.jpg


Kaotik kirjoitti uutisen/artikkelin:
FireEye paljasti hiljattain laajan hyökkäysoperaation, jossa valtiollisiksi tahoiksi oletetut hyökkääjät ujuttivat suosittuun SolarWinds Orion -yritysohjelmistoon Sunburstiksi (FireEye) ja Solorigateksi (Microsoft) ristityn troijalaisen. Sunburstin takaa uskotaan löytyvän APT29- ja Cozy Bear -nimillä tunnettu hakkeriryhmä, jonka epäillään olevan kytköksissä Venäjän tiedustelupalveluun. Itse hyökkäys on alkanut jo viime keväänä, vaikka se selvisi vasta nyt.

Nyt Microsoft on kertonut sen tekemistä toimista hyökkäystä vastaan. Yhtiön mukaan se poisti heti hyökkäyksen tultua julki manuaalisesti digitaaliset sertifikaatit, joita troijalaisen saastuttamat tiedostot käyttivät. Käytännössä tämä tarkoittaa, ettei yksikään Windows-kokoonpano suostu suorittamaan kyseisiä tiedostoja, koska se näkee ne epäluotettavina.

Tämän lisäksi Microsoft päivitti Windows Defender -ohjelmiston tunnistamaan käytetyn troijalaisen vastaisen varalta ja varoittamaan käyttäjiä siitä. Keskiviikkona yhtiö kuitenkin päätti muuttaa Windows Defenderin vakiotoiminnon Solorigatea kohtaan pelkästä varoittamisesta automaattiseen karanteeniin. Saastuneiden tiedostojen siirtäminen automaattisesti karanteeniin on tehokasta, mutta samaan aikaan se saattaa aiheuttaa myös esimerkiksi järjestelmän kaatumisen.

Microsoft on lisäksi yhdessä kumppaniensa kanssa eristänyt hyökkääjien käyttämän avsvmcloud.com-sivuston ns. sinkhole-taktiikalla. Sinkholella tarkoitetaan tapaa, jossa palvelin eristetään DNS-palvelinten avulla muulta internetiltä ohjaamalle niille tarkoitetun liikenteen muualle. Tämän myötä haittaohjelma menettää kyvyn kommunikoida isäntäpalvelimensa kanssa ja jää ilman toimintaohjeita.

Lähteet: FireEye, GeekWire

Linkki alkuperäiseen juttuun
 
Tulee mieleen Herrasmieshakkereiden jakso jossa oli mukana Prikaatinkenraali Mikko Heiskanen vieraana. Muistelisin että siinä jossain vaiheessa puhuivat kuinka nämä valtioden käyttämät offensiiviset kyberaseet ovat pääosin kertakäyttöisiä, joten niitä sitten kehitellään sitä yhtä käyttökertaa varten. Eiköhän tässä nyt nähty yksi tällainen kertakäyttöinen hyökkäys ja taisihan se olla aika tehokas.
 
Tulee mieleen Herrasmieshakkereiden jakso jossa oli mukana Prikaatinkenraali Mikko Heiskanen vieraana. Muistelisin että siinä jossain vaiheessa puhuivat kuinka nämä valtioden käyttämät offensiiviset kyberaseet ovat pääosin kertakäyttöisiä, joten niitä sitten kehitellään sitä yhtä käyttökertaa varten. Eiköhän tässä nyt nähty yksi tällainen kertakäyttöinen hyökkäys ja taisihan se olla aika tehokas.
Kuten pokerissa niin ei hyvä pelaaja kerro mitään kädestään ilmeillään.
Tokkopa hyökkäys oli kertakäyttöinen muuten kuin jotta käyttivät muutaman kortin, mutta vain nimenomaan päästäkseen niiden avustuksella hiukan eteenpäin?
Kokemuksella, aina löytyy se muutama prosentti laitteista/palvelimista joita ei muisteta/pystytä jostain syystä päivittämään. Vanhaa rautaa ja vanhoja softia joita ei ole varaa päivittää tmv. Niistähän säästitte ja aikanaan sitten nautitte säästöistänne :coffee:
 
Ja tämäkään ei varmaan haittaa niitä jotka käyttivät jotain räpellettyä win10 jossa päivitykset poistettu tai muuten viivyttelevät päivitystensä kanssa aina maksimit.
 
@IsoLuumu Heh, ei varmaankaan :)
Mutta kyllä tavallinen loppukäyttäjä on aika hampaaton näissä tilanteissa. Odottelee päivityksiä, ja parhaassa tapauksesa on saanut koneelleen saastuneen version ja Winkka ei enää käynnisty, kun järjestelmä bannää sen saastuneen version. Ihmettelee sitten miksi Windows lakkasi toimimasta, kun ”erehtyi” asentamaan päivityksen, joka estää tuon troijalaisen. Kehenköhän syyttävä sormi osoittaa?
 
Kotikäyttäjiä tämä nyt ei pahemmin koske, kun tuskin ajavat Solarwinds Orion -järjestelmän komponentteja koneellaan.
 

Statistiikka

Viestiketjuista
258 651
Viestejä
4 494 911
Jäsenet
74 265
Uusin jäsen
Oranta

Hinta.fi

Back
Ylös Bottom