SUNSPOT Malware

Infosec-onderzoekers hebben een derde afzonderlijke malware-stam ontdekt die deel uitmaakte van de massale aanval op de toeleveringsketen tegen SolarWinds, een toonaangevende leverancier van IT-beheersoftware. De experts van CrowdStrike, een van de beveiligingsbedrijven die een formeel onderzoek naar de incidenten uitvoeren, noemden de nieuwe malwaretool Sunspot. Hoewel Zonnevlek de laatste bedreiging is die wordt ontdekt, lijkt het erop dat het de eerste is die bij de aanval wordt ingezet. Volgens de bevindingen werd de malwarebedreiging in september 2019 geïnjecteerd in een door SolarWinds gebouwde server. Het doel was specifieke software die ontwikkelaars gebruiken om kleinere componenten samen te voegen tot grotere softwaretoepassingen.

Het lijkt erop dat de hackers op verschillende punten in de aanval verschillende soorten malware hebben gebruikt, overeenkomstig hun specifieke behoeften. Sunspot is de eerste die op het gecompromitteerde doelwit werd afgeleverd en het had maar één doel: op de loer liggen in de build-server totdat het build-commando's detecteert die Orion samenstellen, een van de vlaggenschipproducten van SolarWinds, dit platform voor het bewaken van IT-middelen meer dan 33.000 klanten verspreid over verschillende continenten. Wanneer Sunspot wordt geactiveerd, begint het stiekem specifieke broncodebestanden van het programma te vervangen door beschadigde bestanden die in staat zijn om de volgende fase malware genaamd Sunburst te laden. De met malware besmeurde Orion-clients werden beschikbaar gesteld op de officiële SolarWinds-updateservers van waaruit de nietsvermoedende klanten van het bedrijf ze zouden downloaden.

Sunburst is het verkenningsgereedschap van de aanvallers, belast met het verzamelen van specifieke gegevens van de gecompromitteerde slachtoffers. De malware zou worden geactiveerd binnen de particuliere bedrijfsnetwerken van de klanten van SolarWinds, waar het gevoelige gebruikers- en systeemgegevens zou verzamelen en terug zou exfiltreren naar de hackers. De informatie die door Sunburst wordt verkregen, wordt vervolgens gebruikt als basis om te beslissen of het specifieke slachtoffer essentieel genoeg is om deel uit te maken van de laatste fase van de aanval wanneer de krachtigere Teardrop backdoor Trojan wordt ingezet. Sunburst kan worden opgedragen om zichzelf te verwijderen op systemen die als te onbeduidend of te zwaar beschermd worden beschouwd, waardoor de voetafdruk van de infectie wordt verkleind.

Tot nu toe is de SolarWinds-aanval niet toegeschreven aan een van de reeds bestaande APT-groepen (Advanced Persistent Threat). Opgemerkt moet worden dat de infosec-analisten van Kaspersky erin geslaagd zijn code-overlapping te ontdekken tussen de Sunburst-malware en Kazuar, een malwarestam die verband houdt met de activiteiten van de Turla-hackergroep. Dit is echter niet voldoende bewijs voor het tot stand brengen van een stevige band.