Группа Microsoft Threat Intelligence Center (MSTIC) обнаружила эксплойт удаленного выполнения кода нулевого дня, который использовался для атаки на программное обеспечение SolarWinds Serv-U FTP в ограниченных и целевых атаках.

Как сообщила компания в обновленной информации в среду: «Основываясь на наблюдаемой виктимологии, тактике и процедурах, MSTIC с высокой степенью уверенности приписывает эту кампанию DEV-0322, группе, действующей из Китая».

Помнится мне, тогда на Россию вешали всех собак, и конкретно Клинтонша Россию обвинила в «хакерской атаке» на SolarWinds, чтобы замылить свою грязь. И вот теперь ложечки-то нашлись, но санкции против России остались.

Для проведения атаки хакеры установили вредоносное ПО в программное обеспечение Orion, продаваемое управляющей ИТ-компанией SolarWinds. В сообщениях говорилось, что хакеры взломали как минимум 250 федеральных агентств и ведущих предприятий США.

Атака нулевого дня была впервые обнаружена при обычном сканировании Microsoft 365 Defender.

«Используемая уязвимость — это CVE-2021-35211, которая была недавно исправлена ​​SolarWinds. Мы настоятельно призываем всех клиентов обновить свои экземпляры Serv-U до последней доступной версии», — сообщила Microsoft.

По данным Microsoft, хакеры взломали программное обеспечение SolarWinds, что позволило им «выдать себя за любого из существующих пользователей и учетных записей организации, включая учетные записи с высокими привилегиями».

Компания заявила, что обнаружила, что в ее системы проникли «не только из-за наличия вредоносного кода SolarWinds».

Правительству США может потребоваться несколько месяцев, чтобы завершить расследование взлома SolarWinds.

А вообще в делах, где замешаны хакеры, выявление источника всего этого — это гадание на кофейной гуще. Исследователей легко ввести в заблуждение, или вообще концов можно не найти. Но обвинить Россию при этом — первое дело.