SUNSPOT Malware

Infosec-forskere har opdaget en tredje separat stamme af malware, der var en del af det massive angreb på forsyningskæden mod SolarWinds, en førende udbyder af it-management-software. Eksperterne hos CrowdStrike, et af sikkerhedsfirmaerne, der gennemfører en formel undersøgelse af hændelserne, navngav det nye malware-værktøj Sunspot. Selvom Sunspot er den sidste trussel, der afdækkes, ser det ud til, at det kan være den første, der bliver indsat i angrebet. Ifølge resultaterne blev malware-truslen injiceret i en SolarWinds-byggeserver tilbage i september 2019. Målet var specifik software, som udviklere bruger til at samle mindre komponenter i større softwareapplikationer.

Det ser ud til, at hackerne udnyttede forskellige malware-stammer på forskellige punkter i angrebet svarende til deres specifikke behov. Sunspot er den første, der leveres til det kompromitterede mål, og det havde et eneste formål - at lure inde i build-serveren, indtil den opdager build-kommandoer, der samler Orion, et af SolarWinds flagskibsprodukter, denne overvågningsplatform til it-ressourcer bruges af over 33.000 kunder fordelt på flere kontinenter. Når Sunspot aktiveres, begynder det at erstatte specifikke kildekodefiler i programmet snigende med beskadigede, der er i stand til at indlæse det næste trin malware kaldet Sunburst. De malware-laced Orion-klienter blev gjort tilgængelige på de officielle SolarWinds-opdateringsservere, hvorfra de intetanende kunder i virksomheden ville begynde at downloade dem.

Sunburst er angriberenes rekonstruktionsværktøj, der har til opgave at indsamle specifikke data fra de kompromitterede ofre. Malwaren vil blive aktiveret i det private virksomhedsnetværk af SolarWinds 'klienter, hvor det høster følsomme bruger- og systemdata og exfiltrerer det tilbage til hackerne. Oplysningerne opnået af Sunburst bruges derefter som grundlag for at afgøre, om det specifikke offer er afgørende nok til at være en del af den sidste fase af angrebet, når den mere magtfulde Teardrop bagdør Trojan indsættes. Sunburst kan beordres til at slette sig selv på systemer, der anses for ubetydelige eller for stærkt beskyttede, hvilket reducerer infektions fodaftryk.

Indtil videre er SolarWinds-angrebet ikke tilskrevet nogen af de allerede etablerede APT-grupper (Advanced Persistent Threat). Det skal bemærkes, at infosec-analytikerne hos Kaspersky formåede at opdage kodeoverlapping mellem Sunburst-malware og Kazuar, en malware-stamme, der er knyttet til driften af Turla-hackergruppen. Dette er dog ikke tilstrækkeligt bevis for etableringen af en fast forbindelse.