Взлом крупнейшего подрядчика SolarWinds Orion
На прошлой неделе киберпреступники взломали крупного поставщика ПО SolarWinds, а затем снабдили продукт Orion вредоносным обновлением.
SolarWinds — крупнейший подрядчик правительства США, среди его постоянных клиентов — госструктуры США, а также десятки тысяч других пользователей. Платформа Orion предназначена для централизованного мониторинга и управления, часто используется в крупных сетях для отслеживания всех IT-ресурсов, от серверов до IoT-девайсов.
Trend Micro внимательно следит за развитием ситуации, и в настоящий момент мы можем порекомендовать всем пользователям SolarWinds Orion такие шаги:
- Запустить бесплатный сервис оценки защищенности сети, в который уже добавлены индикаторы данной угрозы.
- Если вы используете решение по защите ЦОД Trend Micro Deep Security, убедитесь в том, что в ваших настройках включены следующие правила системы предотвращения вторжений:
- 1010669 — обнаружение вредоносного домена,
- 1010675 — обнаружение сетевого трафика бэкдора Win32.Beaconsolar.A,
- 1010676 — обнаружение сетевого трафика трояна Trojan.MSIL.Sunburst.A.
- Если вы используете систему предотвращения вторжений Trend Micro Tipping Point, убедитесь в том, что включены следующие правила:
- 38626 — обнаружение Trojan.MSIL.Sunburst.A,
- 38627 — обнаружение Backdoor.Win32.Beaconsolar.A.
В последнем обновлении для сетевого сенсора Trend Micro Deep Discovery Inspector добавлено правило 4491, которое обеспечит обнаружение угрозы в вашей сети.
Индикаторы атаки, которые помогут выявить наличие угрозы в вашей сети с использованием других продуктов ИБ, приведены в базе знаний Trend Micro.