> Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.
Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
Из "скрытности" только использование строковых переменных в Base64.
Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?
У меня по этому поводу вопрос - куда смотрят наши правоохранители, когда эти товарищи, весьма огульно стряпают "доказательства" участия России?
Данный код содержал полноценный бэкдур.
Вторая история это TEARDROP и BEACON, и типа по первому, второй это коммерческий софт, товарищи прослеживают связь с якобы русской хакерской группой, т.к. раньше им же приписывали авторство похожих зловредов.
