Mobilné Správy, Gadgety, Blogy's Secenziami

Odhalenie: Malvér SUNSPOT bol použitý na vstreknutie zadného vrátka SolarWinds

Odhalenie: Malvér SUNSPOT bol použitý na vstreknutie zadného vrátka SolarWinds 1

Ako pokračuje vyšetrovanie útoku na dodávateľský reťazec SolarWinds, výskumníci v oblasti kybernetickej bezpečnosti odhalili tretí malvérový kmeň, ktorý bol nasadený do prostredia zostavy, aby vložil zadné vrátka do firemnej platformy na monitorovanie siete Orion.

Malígny nástroj s názvom „Sunspot“ sa pridáva k rastúcemu zoznamu predtým odhaleného škodlivého softvéru, ako je Sunburst a Teardrop.

„Tento vysoko sofistikovaný a nový kód bol navrhnutý tak, aby vložil škodlivý kód Sunburst do platformy SolarWinds Orion bez toho, aby vzbudil podozrenie v našich tímoch na vývoj a zostavovanie softvéru,“ vysvetlil nový generálny riaditeľ SolarWinds Sudhakar Ramakrishna.

Zatiaľ čo predbežné dôkazy ukázali, že operátori za špionážnou kampaňou dokázali ohroziť vybudovanie softvéru a infraštruktúru podpisovania kódu platformy SolarWinds Orion už v októbri 2019, aby poskytli zadné vrátka Sunburst, najnovšie zistenia odhaľujú novú časovú os, ktorá stanovuje prvé narušenie siete SolarWinds. v septembri 4, 2019 — všetko vykonané s úmyslom nasadiť Sunspot.

„Sunspot monitoruje bežiace procesy pre tých, ktorí sa podieľajú na kompilácii produktu Orion, a nahrádza jeden zo zdrojových súborov tak, aby obsahoval kód backdoor Sunburst,“ uviedli vedci z Crowdstrike v pondelkovej analýze.

Crowdstrike sleduje vniknutie pod prezývkou „StellarParticle“.

Po nainštalovaní si malvér (“taskhostsvc.exe”) udelí oprávnenia na ladenie a vydá sa za úlohu zmocniť sa pracovného postupu zostavy Orion monitorovaním spustených softvérových procesov na serveri a následne nahradiť súbor zdrojového kódu v adresári zostavy škodlivým variant vstreknúť Sunburst počas výstavby Orionu.

Zdá sa, že následná verzia verzie platformy Orion z októbra 2019 obsahovala úpravy určené na testovanie schopnosti páchateľov vložiť kód do našich zostavení,“ povedal Ramakrishna v nadväznosti na predchádzajúce správy z ReversingLabs.

Tento vývoj prichádza v čase, keď výskumníci spoločnosti Kaspersky zistili, čo sa javí ako prvé potenciálne spojenie medzi Sunburst a Kazuar, rodinou škodlivého softvéru spojenou s ruskou kyberšpionážnou organizáciou podporovanou štátom Turla.

Firma zaoberajúca sa kybernetickou bezpečnosťou sa však zdržala vyvodzovania príliš veľa záverov z podobností, namiesto toho naznačila, že prekrytia mohli byť zámerne pridané s cieľom zavádzať pripisovanie.

Zatiaľ čo podobnosti majú ďaleko od dymiacej pištole spájajúcej tento hack s Ruskom, predstavitelia americkej vlády minulý týždeň formálne pripísali operáciu Solorigate na protivníka „pravdepodobne ruského pôvodu“.