Το Threat Intelligence Center της Microsoft (MSTIC) ανέφερε την Τρίτη ότι το λογισμικό SolarWinds δέχθηκε επίθεση με εκμετάλλευση μηδενικής ημέρας από μια ομάδα χάκερ που αποκαλεί «DEV-0322». Οι χάκερ επικεντρώθηκαν στο λογισμικό Serv-U FTP της SolarWinds, με τον υποτιθέμενο στόχο να έχουν πρόσβαση στους πελάτες της εταιρείας στην αμυντική βιομηχανία των ΗΠΑ.
Η επίθεση μηδέν ημερών εντοπίστηκε για πρώτη φορά σε μια ρουτίνα σάρωσης του Microsoft 365 Defender. Το λογισμικό παρατήρησε μια «ανώμαλη κακόβουλη διαδικασία» που η Microsoft εξηγεί με περισσότερες λεπτομέρειες στο ιστολόγιό της, αλλά φαίνεται ότι οι χάκερ προσπαθούσαν να κάνουν τους εαυτούς τους διαχειριστές Serv-U, μεταξύ άλλων ύποπτων δραστηριοτήτων.
Η SolarWinds ανέφερε την εκμετάλλευση μηδενικής ημέρας την Παρασκευή 9 Ιουλίου, εξηγώντας ότι όλες οι κυκλοφορίες του Serv-U από τις 5 Μαΐου και νωρίτερα περιείχαν την ευπάθεια. Η εταιρεία κυκλοφόρησε μια επείγουσα επιδιόρθωση για να αντιμετωπίσει το ζήτημα και η εκμετάλλευση έκτοτε έχει επιδιορθωθεί, αλλά η Microsoft γράφει ότι εάν το πρωτόκολλο Sec-Shell (SSH) του Serv-U είναι συνδεδεμένο στο Διαδίκτυο, οι χάκερ θα μπορούσαν να «εκτελέσουν απομακρυσμένα τον αυθαίρετο κώδικα με προνόμια, επιτρέποντάς τους να εκτελέστε ενέργειες όπως εγκατάσταση και εκτέλεση κακόβουλων ωφέλιμων φορτίων ή προβολή και αλλαγή δεδομένων. " Όποιος χρησιμοποιεί παλαιότερο λογισμικό Serv-U συνιστάται να το ενημερώσει το συντομότερο δυνατό.
Το πρώτο χάκετ που οδήγησε το SolarWinds στο προσκήνιο τον Δεκέμβριο του 2020 έθεσε εκατοντάδες κυβερνητικές υπηρεσίες και επιχειρήσεις. Σε αντίθεση με το προηγούμενο hack, το οποίο τώρα είναι ευρέως συνδεδεμένο με μια ρωσική κρατική ομάδα hackers που ονομάζεται Cozy Bear, η Microsoft λέει ότι αυτή η επίθεση μηδενικής ημέρας προήλθε από την Κίνα. Το DEV-0322 έχει συνηθίσει να επιτίθεται σε «οντότητες στον τομέα της βιομηχανικής βάσης άμυνας των ΗΠΑ», γράφει η Microsoft και είναι γνωστή για τη «χρήση εμπορικών λύσεων VPN και συμβιβασμένων καταναλωτών σε υποδομές εισβολέων».