Η CrowdStrike, μία από τις εταιρείες ασφαλείας που διερευνούν τη supply chain επίθεση της SolarWinds, δήλωσε ότι εντόπισε ένα τρίτο malware που φαίνεται να εμπλέκεται άμεσα στο hack.
Τα δύο προηγούμενα κακόβουλα λογισμικά που είχαν ανακαλυφθεί, ήταν το Sunburst (Solorigate) και το Teardrop. Το νέο malware ονομάζεται Sunspot.
Σύμφωνα με τους ερευνητές της CrowdStrike, το Sunspot ήταν το πρώτο malware που χρησιμοποίησαν οι εγκληματίες του κυβερνοχώρου για την πραγματοποίηση της επίθεσης.
Το Sunspot malware “έτρεχε” στον build server της SolarWinds
Η Crowdstrike αναφέρει στην έκθεσή της ότι το Sunspot αναπτύχθηκε, όταν οι hackers παραβίασαν για πρώτη φορά το εσωτερικό δίκτυο της SolarWinds.
Σύμφωνα με τους ερευνητές, το Sunspot malware εγκαταστάθηκε στον build server της SolarWinds. Ο ένας και μοναδικός σκοπός του malware ήταν να παρακολουθεί το build server για build εντολές που σχετίζονταν με το Orion, ένα από τα κορυφαία προϊόντα της SolarWinds που χρησιμοποιείται από περισσότερους από 33.000 πελάτες (σε όλο τον κόσμο).
Με τον εντοπισμό ενός build command, το κακόβουλο λογισμικό αντικαθιστούσε σιωπηλά source code files στο Orion app με αρχεία που φόρτωναν το Sunburst malware. Αυτό είχε ως αποτέλεσμα τη δημιουργία εκδόσεων του Orion app που εγκαθιστούσαν, επίσης, το κακόβουλο λογισμικό Sunburst.
Αυτά τα trojanized Orion clients έφτασαν στις επίσημες ενημερώσεις servers της SolarWinds και εγκαταστάθηκαν στα δίκτυα πολλών πελατών της εταιρείας.
Αμέσως μετά, το Sunburst ενεργοποιούνταν στα εσωτερικά δίκτυα των εταιρειών και των κυβερνητικών υπηρεσιών-πελατών της SolarWinds, και συγκέντρωνε δεδομένα τα οποία έστελνε πίσω στους hackers (η Symantec δίνει πληροφορίες σχετικά με τον τρόπο αποστολής δεδομένων μέσω DNS request).
Στη συνέχεια, οι επιτιθέμενοι αποφάσιζαν εάν ένα θύμα ήταν αρκετά σημαντικό για να παραβιαστεί και χρησιμοποιούσαν το πιο ισχυρό Teardrop trojan. Ταυτόχρονα, το Sunburst έπαιρνε εντολή να διαγραφεί από τα μη σημαντικά ή υψηλού κινδύνου δίκτυα.
Ωστόσο, η αποκάλυψη για το τρίτο malware που εμπλέκεται στην επίθεση SolarWinds δεν είναι η μοναδική που ήρθε στο φως τις τελευταίες ώρες.
Σε μια ανακοίνωση στο blog της, η SolarWinds δημοσίευσε ένα χρονοδιάγραμμα της εισβολής. Η εταιρεία είπε ότι πριν την ανάπτυξη του λογισμικού Sunburst μεταξύ Μαρτίου και Ιουνίου 2020, οι hackers είχαν κάνει κάποιες δοκιμές μεταξύ Σεπτεμβρίου και Νοεμβρίου 2019.
“Η έκδοση του Οκτωβρίου 2019 του Orion Platform περιείχε τροποποιήσεις που είχαν σχεδιαστεί για να δοκιμάσουν οι δράστες την ικανότητά τους να εισάγουν κώδικα στα συστήματά μας“, δήλωσε ο Διευθύνων Σύμβουλος της SolarWinds, Sudhakar Ramakrishna.
Η άλλη ανακάλυψη που κυκλοφόρησε από την Kaspersky, είναι ότι το Sunburst παρουσιάζει ομοιότητες με ένα malware που χρησιμοποιείται από τη ρωσική hacking ομάδα Turla.
Η Kaspersky τόνισε ότι βρήκε απλά κάποιες ομοιότητες στον κώδικα και ότι αυτό δεν σημαίνει απαραίτητα ότι η ίδια ομάδα βρίσκεται πίσω από την επίθεση στη SolarWinds.
Οι εταιρείες ασφαλείας κάνουν πιο προσεκτικές δηλώσεις σχετικά με τον πιθανό φορέα της επίθεσης, αν και η αμερικανική κυβέρνηση έχει ήδη πει δημόσια ότι πιθανότατα η Ρωσία ευθύνεται για την επίθεση.
Οι εταιρείες ασφαλείας προτείνουν να μην γίνονται τέτοιες δηλώσεις ακόμα, καθώς η έρευνα βρίσκεται σε πρώιμο στάδιο.
Προς το παρόν, οι επιτιθέμενοι παρακολουθούνται με διαφορετικά ονόματα, όπως UNC2452 (FireEye, Microsoft), DarkHalo (Volexity) και StellarParticle (CrowdStrike), αλλά το όνομα αναμένεται να αλλάξει μόλις οι εταιρείες μάθουν περισσότερα.
Πηγή: ZDNet