استفاده از وب‌شل SUPERNOVA در حملات سایبری سولارویندز

۰۲ دی ۱۳۹۹

یافته‌های جدید محققان امنیتی نشان می‌دهد که در حملات سایبری اخیر که از طریق سوءاستفاده از محصول سولارویندز اوریون (SolarWinds Orion) انجام شده‌اند، یک درب پشتی (Backdoor) غیرمرتبط با گروه مهاجم اصلی استفاده شده است که در دسته بدافزاری وب‌شل‌ها (WebShell) قرار می‌گیرد.

این درب پشتی که سوپرنوا (SUPERNOVA) نام دارد، یک بدافزار جاسازی شده در کد‌های شبکه و برنامه‌های نظارت اوریون بوده و به مهاجمان اجازه اجرای کدهای مخرب در دستگاه‌های آسیب‌پذیر را داده است.

براساس اطلاعات موجود در وب‌سایت ویروس‌توتال، در حال حاضر، یکی از نمونه‌های بدافزار سوپرنوا، توسط ۵۵ آنتی‌ویروس به کار رفته در این وب‌سایت، مورد شناسایی قرار می‌گیرد. همچنین، بر اساس تحقیقات انجام شده، بدافزار سوپرنوا دارای ویژگی‌هایی است که تعلق آن به یک گروه مهاجم جدید را نشان می‌دهد که از طریق وب‌شل، معمولا حملات خود را انجام می‌دهند.

در همین رابطه، شرکت مایکروسافت گفته است که باور دارد که بدافزار سوپرنوا متعلق به گروهی که شرکت فایرآی و ده‌ها نهاد دولتی ایالات متحده را مورد حمله قرار داده‌اند، نیست.

یکی از دلایل این ادعا آن است که سوپرنوا مانند بدافزار SunBurst/Solarigate که از طریق به‌روزرسانی سولارویندز مشتریان را مورد حمله قرار داده بود، دارای امضای دیجیتالی نیست.

شرکت‌های امنیتی تاکنون، هیچ یک از این دو بدافزار را به گروه خاصی نسبت نداده‌اند و تنها اظهار کرده‌اند که هر دوی این بدافزارها متعلق به یک گروه تحت حمایت یکی از دولت‌ها هستند.

 

 

توضیحات بیشتر:

New SUPERNOVA backdoor found in SolarWinds cyberattack analysis