Специалисты компании Microsoft обнаружили, что группировка Cozy Bear применяла не менее трех вредоносных программ в ходе атаки, совершенной в декабре 2020 года. Ранее считалось, что в платформу Orion внедрили только вирус Solorigate. Тем не менее сейчас аналитики, окончившие бесплатные курсы по кибербезопасности, получили дополнительную информацию об инструментах злоумышленников.
Что известно о Supernova, бесплатные курсы по кибербезопасности
Прежде всего следует понимать, что многие хакерские группировки взаимодействуют друг с другом и обмениваются инструментами. Расследование взлома SolarWinds показало, что Cozy Bear решили поделиться добычей с другими злоумышленниками. Дело в том, что киберполиция США обнаружила во внутренней сети предприятия вирус Supernova. Есть несколько версий того, как именно это вредоносное ПО оказалось внутри защищенной сети. Одни аналитики считают, представители Cozy Bear передали учетные данные платформы Orion владельцам вируса Supernova. А вот другие исследователи, прошедшие бесплатные онлайн курсы по кибербезопасности, уверены, что атаки на SolarWinds осуществляли как минимум две группировки независимо друг от друга.
Оба сценария сильно беспокоят все мировое сообщество. Потому что могут отразиться на безопасности огромного количества предприятий. Если в Cozy Bear торгуют учетными записями платформы Orion, то это может спровоцировать новые атаки в будущем. Более того — от них будет крайне сложно защититься. Так как каждая хакерская группировка использует уникальный набор инструментов для взлома. И даже если представители компании смогут внедрить большое количество технологий по усилению защиты, нет гарантий, что они подействуют в полной мере.
Если же хакеры действовали независимо друг от друга, то проблема заключается в уязвимости самой платформы Orion. Скорее всего она содержит ряд уязвимостей, о которых до сих пор не подозревают разработчики. А значит и исправить баги в ближайшее время они не смогут. И это в свою очередь также может спровоцировать различные хакерские группировки на нападения на SolarWinds и пользователей компании. Об этом предупредили аналитики, которые прошли лучшие курсы по кибербезопасности в свое время.
Что такое CosmicGale
В свою очередь CosmicGale является вирусом, который также обнаружили в платформе Orion. По всей видимости он принадлежит той же хакерской группировке, которая внедрила вредоносную программу Supernova. Сам вирус CosmicGale представляет собой некий объектно-ориентированный программный движок. Он использует скриптовый язык и интерфейс командной строки для предоставления хакерам широких полномочий в зараженной сети. Важно понимать, что это универсальный инструмент администрирования. Более того, он позволяет злоумышленнику изменять конфигурацию всех версий операционной системы Windows. Таким образом эта атака была направлена исключительно на клиентов компании Microsoft.
Как утверждают представители самой компании, вирус опасен. Если CosmicGale попадет на компьютер операционной системы Windows, хакеры смогут:
- заразить вычислительное устройство другими вредоносными программами;
- получить доступ ко всей конфиденциальной информации;
- украсть платежные данные;
- похитить данные учетных записей.
На сегодняшний день разработчики Microsoft стараются выпустить патчи для своих операционных систем. Но пока существует ряд проблем, связанных с внедрением этих обновлений. Прежде всего проблемы кроются в том, что платформа Orion имеет доступ к корневым каталогам. Исследователи, окончившие полный курс по кибербезопасности секреты хакеров, утверждают, что остается надеяться, что в ближайшее время они смогут создать рабочий патч.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.