>Вы просто "нормальных" никогда не видели )))
>Клиент ботсети в качестве бэкдура это или клиент ботсети и преследовалась цель создать ботсеть, или это "я тебя слепила, из того, что было".
Сам я не специалист, но вижу что специалисты оценивают работу довольно высоко.
"Проникнув в сеть SolarWinds, злоумышленники снабдили платформу Orion, предназначенную для централизованного мониторинга и управления, вредоносным обновлением. В результате множество клиентов SolarWinds установили зараженную версию платформы и, сами того не зная, впустили хакеров в свои сети. Среди пострадавших числятся такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Как ранее стало известно из отчетов ИБ-экспертов, сначала атакующие развернули в сети SolarWinds малварь Sunspot. Аналитики компании CrowdStrike писали, что этот вредонос использовался для внедрения в код Orion бэкдора Sunburst. Зараженные версии Orion оставались незамеченными и были активны в период с марта по июнь 2020 года, а компании-пользователи Orion оказались скомпрометированы. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. При этом хакеры развивали свою атаку далее лишь в редких случаях, тщательно выбирая среди пострадавших крупные цели.
Sunburst сам по себе не был особенно сложным, он лишь собирал информацию о зараженной сети и передавал эти данные на удаленный сервер. Если в итоге операторы малвари решали, что жертва является перспективной целью для развития атаки, они удаляли Sunburst и заменяли его на более мощный бэкдор-троян Teardrop.
Но как теперь сообщает компания Symantec, в некоторых случаях атакующие предпочитали использовать малварь Raindrop, а не Teardrop. Оба бэкдора имеют схожую функциональность и характеризуются исследователями как «загрузчик для маяка Cobalt Strike», то есть они применялись злоумышленниками для расширения доступа внутри взломанной сети"