Phát hiện thêm một backdoor nguy hiểm trên hệ thống của SolarWinds, có nhóm hacker khác nhúng tay vào?

Khi phân tích những bằng chứng thu được từ cuộc tấn công chuỗi cung ứng SolarWinds Orion, các nhà nghiên cứu bảo mật đã phát hiện ra một backdoor khác. Như vậy, ngoài nhóm hacker ban đầu (được cho là hacker Nga) còn có một nhóm hacker khác đang tấn công các mục tiêu qua hệ thống của SolarWinds.

Backdoor mới mang tên SUPERNOVA và là một webshell được cấy trong code của flatform giám sát ứng dụng và mạng Orion. Hacker có thể thực thi code tùy ý trên các hệ thống chạy phiên bản SolarWinds Orion cấy webshell kể trên.

Webshell là một biến thể bị cài trojan của thư viện .NET ban đầu trong phần mềm Orion của SolarWinds. Nó đã được chỉnh sửa để có thể tránh các cơ chế bảo vệ tự động, chống mã độc của hệ thống.

Không rõ backdoor SUPERNOVA đã hiện diện trong phần mềm Orion bao lâu. Theo phân tích, dấu hiệu của backdoor này xuất hiện từ ngày 24/03/2020.

Dựa trên những phát hiện mới, các nhà nghiên cứu nhận định rằng SUPERNOVA mang dấu ấn của một nhóm hacker đẳng cấp cao. Nhóm này đã đưa phương thức xâm nhập thông qua webshell lên một cấp độ mới.

Phía Microsoft cũng tin rằng SUPERNOVA là sản phẩm của một nhóm hacker khác, không phải cùng một nhóm hacker đã tấn công vào FireEye, Microsoft và rất nhiều doanh nghiệp, cơ quan quan trọng của Mỹ thời gian vừa qua.

Có thể nói rằng trong cái rủi lại có cái may khi điều tra backdoor SunBurst/Solarigate trên SolarWinds người ta lại tìm ra backdoor SUPERNOVA. Nếu không phát hiện ra sớm, backdoor SUPERNOVA có thể gây ra nhiều thiệt hại hơn nữa cho các cơ quan chính phủ và doanh nghiệp toàn cầu.