یافتههای جدید محققان امنیتی نشان میدهد که در حملات سایبری اخیر که از طریق سوءاستفاده از محصول سولارویندز اوریون (SolarWinds Orion) انجام شدهاند، یک درب پشتی (Backdoor) غیرمرتبط با گروه مهاجم اصلی استفاده شده است که در دسته بدافزاری وبشلها (WebShell) قرار میگیرد.
این درب پشتی که سوپرنوا (SUPERNOVA) نام دارد، یک بدافزار جاسازی شده در کدهای شبکه و برنامههای نظارت اوریون بوده و به مهاجمان اجازه اجرای کدهای مخرب در دستگاههای آسیبپذیر را داده است.
براساس اطلاعات موجود در وبسایت ویروستوتال، در حال حاضر، یکی از نمونههای بدافزار سوپرنوا، توسط ۵۵ آنتیویروس به کار رفته در این وبسایت، مورد شناسایی قرار میگیرد. همچنین، بر اساس تحقیقات انجام شده، بدافزار سوپرنوا دارای ویژگیهایی است که تعلق آن به یک گروه مهاجم جدید را نشان میدهد که از طریق وبشل، معمولا حملات خود را انجام میدهند.
در همین رابطه، شرکت مایکروسافت گفته است که باور دارد که بدافزار سوپرنوا متعلق به گروهی که شرکت فایرآی و دهها نهاد دولتی ایالات متحده را مورد حمله قرار دادهاند، نیست.
یکی از دلایل این ادعا آن است که سوپرنوا مانند بدافزار SunBurst/Solarigate که از طریق بهروزرسانی سولارویندز مشتریان را مورد حمله قرار داده بود، دارای امضای دیجیتالی نیست.
شرکتهای امنیتی تاکنون، هیچ یک از این دو بدافزار را به گروه خاصی نسبت ندادهاند و تنها اظهار کردهاند که هر دوی این بدافزارها متعلق به یک گروه تحت حمایت یکی از دولتها هستند.
توضیحات بیشتر:
- New SUPERNOVA backdoor found in SolarWinds cyberattack analysis