El malware SUNSPOT se usó para inyectar la puerta trasera de SolarWinds

Malware de manchas solares

A medida que continúa la investigación sobre el ataque a la cadena de suministro de SolarWinds, los investigadores de seguridad cibernética han revelado una tercera cepa de malware que se implementó en el entorno de construcción para inyectar la puerta trasera en la plataforma de monitoreo de red Orion de la compañía.

Llamada «Sunspot», la herramienta maligna se suma a una lista cada vez mayor de software malicioso divulgado anteriormente, como Sunburst y Teardrop.

«Este código altamente sofisticado y novedoso fue diseñado para inyectar el código malicioso Sunburst en la plataforma SolarWinds Orion sin despertar la sospecha de nuestros equipos de desarrollo y construcción de software», explicó el nuevo director ejecutivo de SolarWinds, Sudhakar Ramakrishna.

Si bien la evidencia preliminar encontró que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los últimos hallazgos revelan una nueva línea de tiempo que establece la primera brecha en la red de SolarWinds. el 4 de septiembre de 2019, todo llevado a cabo con la intención de implementar Sunspot.

Malware de manchas solares

«Sunspot monitorea los procesos en ejecución para aquellos involucrados en la compilación del producto Orion y reemplaza uno de los archivos fuente para incluir el código de puerta trasera Sunburst», dijeron los investigadores de Crowdstrike en un análisis el lunes.

Crowdstrike está rastreando la intrusión bajo el nombre de «StellarParticle».

Una vez instalado, el malware («taskhostsvc.exe») se otorga a sí mismo privilegios de depuración y comienza su tarea de secuestrar el flujo de trabajo de compilación de Orion al monitorear los procesos de software en ejecución en el servidor y reemplazar un archivo de código fuente en el directorio de compilación con un malicioso. variante para inyectar Sunburst mientras se construye Orion.

La versión posterior de octubre de 2019 del lanzamiento de Orion Platform parece haber contenido modificaciones diseñadas para probar la capacidad de los perpetradores para insertar código en nuestras compilaciones «, dijo Ramakrishna, haciéndose eco de informes anteriores de ReversingLabs.

El desarrollo se produce cuando los investigadores de Kaspersky encontraron lo que parece ser una primera conexión potencial entre Sunburst y Kazuar, una familia de malware vinculada al equipo de ciberespionaje patrocinado por el estado ruso Turla.

Sin embargo, la firma de seguridad cibernética se abstuvo de sacar demasiadas inferencias de las similitudes y, en cambio, sugirió que las superposiciones pueden haberse agregado intencionalmente para inducir a error en la atribución.

Si bien las similitudes están lejos de ser una prueba irrefutable que vincule el truco con Rusia, la semana pasada los funcionarios del gobierno de EE. UU. atribuyeron formalmente la operación Solorigate a un adversario «probablemente de origen ruso».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática