Эксперты уверены, что к взлому SolarWinds причастны китайские хакеры

22 декабря 2020 года аналитики Microsoft официально объявили о том, что некая группа хакеров воспользовалась уязвимостями в ПО Orion, чтобы внедрить бэкдор Supernova в пользовательские системы.

Специалисты ИБ из группы Unit 42 также проанализировали действия мошенников и пришли к выводу, что Supernova является веб-оболочкой, полученной через модульную модификацию.

Хакеры не вмешивались в обновления SolarWinds – они воспользовались ошибкой CVE-2020-10148 в API Orion, позволяющей отдавать системе команды вне аутентификации. В Microsoft отметили, что вредоносная программа не имела цифровой подписи, как, к примеру, продукты компании Sunburst, которую связывают с Россией, а это значит, что Supernova не могла быть разработана Sunburst.

Исследователи кибербезопаности из Counter Threat Unit впервые заметили атаку ещё в конце 2020 года, а уже после выявили явные сходства с кибернападениями с использованием уязвимостей в ManageEngine ServiceDesk, произошедшими ещё в 2018. Это позволило компании обвинить Spiral в обоих преступлениях.

Подозрения о связи Spiral с Китаем основаны на том, что атаки на ManageEngine полностью повторяли почерк китайских группировок, ворующих интеллектуальную собственность, личные данные и учётки пользователей. Все сомнения развеялись, когда выяснилось, что хост, который использовался преступниками для распространения вредоносного ПО, имеет IP-адрес в Китае. Хотя эксперты не отрицают версию, согласно которой хакеры намеренно не стали скрывать IP-адрес, чтобы запутать следствие и спокойно действовать за пределами Китая, но при его удалённой поддержке.