Компания FireEye, занимающаяся кибербезопасностью, опубликовала отчёт, описывающий методы киберпреступников, которым недавно удалось проникнуть в системы SolarWinds и ряда других корпораций.
Помимо этого, специалисты FireEye представили инструмент, который поможет организациям проверить свои сети на наличие следов злоумышленников.
Отчёт можно найти по этой ссылке, а инструмент специалисты опубликовали на GitHub — он получил имя Azure AD Investigator.
С помощью Azure AD Investigator компании смогут узнать, проникала ли в их сети кибергруппировка UNC2452, взломавшая SolarWinds. В ходе анализа инструмент берёт за основу специальные методы, которыми пользовались участники UNC2452. Напомним, что FireEye совместно с другими компаниями — Microsoft и CrowdStrike инициировали собственное расследование после компрометации цепочки поставок SolarWinds.
На сегодняшний день известно, что основным инструментом киберпреступников была вредоносная программа Sunburst (или Solorigate), которая и собирала конфиденциальные данные в сети компаний.
Отчёт FireEye, раскинувшийся на 35 страницах, детально описывает методы и схемы группировки UNC2452. Также документ будет полезен для разработки стратегии защиты и отражения похожих атак на свои системы.
Стало известно, что в ходе атаки на SolarWinds пострадала другая компания, известная в сфере кибербезопасности, — Malwarebytes.