13/01/21
Расследование атаки на цепочку поставок SolarWinds продолжается, и исследователи в области кибербезопасности выявили третий вид вредоносного ПО, развернутого в среде сборки для внедрения бэкдора в платформу мониторинга сети Orion компании SolarWinds.
Вредонос, получивший название Sunspot, пополнил постоянно растущий список ранее обнаруженных вредоносных программ, таких как Sunburst и Teardrop. Напомним, ранее аналитики «Лаборатории Касперского» обнаружили сходство между хакерским инструментом Sunburst, использованным во время этой атаки, и уже известным инструментом Kazuar, применявшимся хакерской группой Turla, которую многие эксперты связывают с Россией.
«Этот очень сложный вредонос был разработан для внедрения вредоносного кода Sunburst в платформу SolarWinds Orion, не вызывая подозрений у наших групп разработки и сборки программного обеспечения», — пояснил новый генеральный директор SolarWinds Судхакар Рамакришна.
Хотя предварительные данные показали, что операторы шпионской кампании сумели скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы поставить бэкдор Sunburst, последние результаты расследования указывают на новую временную шкалу, определяющую взлом сети SolarWinds. 4 сентября 2019 года злоумышленники развернули Sunspot.
Sunspot отслеживает запущенные процессы тех, кто участвует в компиляции продукта Orion, и заменяет один из исходных файлов, чтобы включить в него бэкдор-код Sunburst. После установки вредоносная программа ("taskhostsvc.exe") предоставляет себе права на отладку и приступает к своей задаче по захвату рабочего процесса сборки Orion путем мониторинга запущенных программных процессов на сервере и последующей замены файла исходного кода в каталоге сборки вредоносным вариантом для введения Sunburst во время сборки Orion.
