شناسایی چهارمین بدافزار دخیل در حمله به سولار ویندز

به گزارش کارگروه امنیت سایبربان؛ شرکت امنیت سایبری سیمنتک، بزرگ ترین شرکت تولید کننده نرم افزار های امنیتی برای رایانه های شخصی در دنیا، اعلام کرد که چهارمین بد افزار به کار گرفته شده در حمله به شرکت سولار ویندز را شناسایی کرده است.

این بدافزار که Raindrop نام دارد، چهارمین بد افزار دخیل در حمله به سولار ویندز، پس از Sunspot, Sunburst و Teardrop می باشد. 

به گفته سیمنتک، این بدافزار تنها در مراحل پایانی حمله به سولار ویندز و برای نفوذ به شبکه های منتخبی  مورد استفاده قرار گرفته است.
این شرکت امنیت سایبری گفت که تا به امروز تنها 4 نمونه از بدافزار Raindrop را شناسایی کرده است .
طبق گزارشات، مهاجمان در حمله به سولار ویندز، ابتدا بدافزار Sunspot را در شبکه داخلی سولار ویندز وارد کردند و سپس با استفاده از این بدافزار توانستند فرآیند تبدیل فایل های کد منبع به مصنوعات مستقل نرم افزاریOrion را دستخوش تغییراتی کنند و بدافزار Sunburst را به نسخه جدید این نرم افزار وارد کنند.
نسخه های آلوده این نرم افزار بین ماه های مارس و ژوئن 2020 بر روی سرورهای رسمی سولار ویندز فعال بودند و شناسایی نشدند.
شرکت هایی که نسخه به روز رسانی Orion را اجرا کردند، از روی نا آگاهی، بدافزار Sunburst را نیز بر روی سیستم های خود نصب کردند.
اما بدافزار Sunburst به خودی خود پیچیده نبود و تنها می توانست اطلاعات جمع آوری شده در مورد شبکه های آلوده را از راه دور به سرورها ارسال کند. 

اگرچه بیش از 18000 مشتری سولار ویندز با  استفاده از بدافزار Sunburst آلوده شدند اما هکرها با دقت بالایی اهداف مورد نظر خود را انتخاب می کردند و تنها چند مورد انگشت شمار مهم مانند آژانس های دولتی آمریکا، مایکروسافت و فایر آی را مورد هدف قرار دادند.

هنگامی که هکرها تصمیم  به ارتقای سطح دسترسی خود گرفتند، توانستند با استفاده از بدافزار Sunburst، بدافزار Teardrop را دانلود و نصب کنند. 
اما هکرها در برخی موارد به جای استفاده از Teardrop، از بدافزار Raindrop استفاده کردند. 
این بدافزار برخلاف Teardrop به صورت  مرموزی بر روی سیستم ها ظاهر می شوند. 
اما نکته اینجاست که تیم های امنیتی بایستی زین پس، وجود بدافزار دیگری به Raindrop را در شبکه های خود بررسی کنند.