SUNSPOT Malware

I ricercatori di Infosec hanno scoperto un terzo ceppo separato di malware che faceva parte del massiccio attacco alla catena di approvvigionamento contro SolarWinds, un fornitore leader di software di gestione IT. Gli esperti di CrowdStrike, una delle società di sicurezza che conducono un'indagine formale sugli incidenti, hanno chiamato il nuovo strumento malware Sunspot. Sebbene Sunspot sia l'ultima minaccia da scoprire, sembra che potrebbe essere la prima ad essere schierata nell'attacco. Secondo i risultati, la minaccia malware è stata iniettata in un server di build SolarWinds nel settembre 2019. L'obiettivo era un software specifico che gli sviluppatori utilizzano per assemblare componenti più piccoli in applicazioni software più grandi.

Sembra che gli hacker abbiano sfruttato diversi ceppi di malware in diversi punti dell'attacco corrispondenti alle loro esigenze specifiche. Sunspot è il primo ad essere consegnato sull'obiettivo compromesso e aveva un unico scopo: nascondersi all'interno del server di compilazione fino a quando non rileva i comandi di compilazione che assemblano Orion, uno dei prodotti di punta di SolarWinds, questa piattaforma di monitoraggio delle risorse IT viene utilizzata da oltre 33.000 clienti sparsi in diversi continenti. Quando Sunspot si attiva, inizia a sostituire furtivamente file di codice sorgente specifici del programma con quelli danneggiati in grado di caricare il malware della fase successiva chiamato Sunburst. I client Orion pieni di malware sono stati resi disponibili sui server di aggiornamento ufficiali di SolarWinds da dove gli ignari client dell'azienda avrebbero iniziato a scaricarli.

Sunburst è lo strumento di ricognizione degli aggressori, incaricato di raccogliere dati specifici dalle vittime compromesse. Il malware verrebbe attivato all'interno delle reti aziendali private dei client di SolarWinds, dove raccoglierebbe dati sensibili su utenti e sistemi e li ritrasmetterebbe agli hacker. Le informazioni ottenute da Sunburst vengono quindi utilizzate come base per decidere se la vittima specifica è sufficientemente essenziale per far parte della fase finale dell'attacco quando viene schierato il più potente Trojan backdoor Teardrop. È possibile comandare a Sunburst di cancellarsi su sistemi ritenuti troppo insignificanti o troppo protetti, riducendo l'impronta dell'infezione.

Finora, l'attacco SolarWinds non è stato attribuito a nessuno dei gruppi APT (Advanced Persistent Threat) già affermati. Va notato che gli analisti di infosec di Kaspersky sono riusciti a scoprire la sovrapposizione di codice tra il malware Sunburst e Kazuar, un ceppo di malware legato alle operazioni del gruppo di hacker Turla. Tuttavia, questa non è una prova sufficiente per stabilire un legame stabile.