Logiciel malveillant SUNSPOT

Les chercheurs d'Infosec ont découvert une troisième souche distincte de logiciels malveillants qui faisait partie de l'attaque massive de la chaîne d'approvisionnement contre SolarWinds, l'un des principaux fournisseurs de logiciels de gestion informatique. Les experts de CrowdStrike, l'une des sociétés de sécurité menant une enquête formelle sur les incidents, ont nommé le nouvel outil de malware Sunspot. Bien que Sunspot soit la dernière menace à être découverte, il semble qu'elle puisse être la première à être déployée dans l'attaque. Selon les résultats, la menace du malware a été injectée dans un serveur de build SolarWinds en septembre 2019. La cible était un logiciel spécifique que les développeurs utilisent pour assembler des composants plus petits dans des applications logicielles plus grandes.

Il semble que les pirates ont exploité différentes souches de logiciels malveillants à différents moments de l'attaque correspondant à leurs besoins spécifiques. Sunspot est le premier à être livré sur la cible compromise, et il avait un seul objectif: se cacher à l'intérieur du serveur de construction jusqu'à ce qu'il détecte les commandes de construction qui assemblent Orion, l'un des produits phares de SolarWinds, cette plate-forme de surveillance des ressources informatiques est utilisée par plus de 33 000 clients répartis sur plusieurs continents. Lorsque Sunspot s'active, il commence à remplacer furtivement les fichiers de code source spécifiques du programme par des fichiers corrompus capables de charger le logiciel malveillant de l'étape suivante appelé Sunburst. Les clients Orion contenant des logiciels malveillants ont été rendus disponibles sur les serveurs de mise à jour officiels de SolarWinds à partir desquels les clients peu méfiants de la société commenceraient à les télécharger.

Sunburst est l'outil de reconnaissance des attaquants, chargé de collecter des données spécifiques auprès des victimes compromises. Le malware serait activé à l'intérieur des réseaux d'entreprises privées des clients de SolarWinds, où il récolterait les données sensibles des utilisateurs et du système et les exfiltrerait vers les pirates. Les informations obtenues par Sunburst sont ensuite utilisées comme base pour décider si la victime spécifique est suffisamment essentielle pour faire partie de la dernière étape de l'attaque lorsque le cheval de Troie de porte arrière Teardrop plus puissant est déployé. Sunburst peut être commandé pour se supprimer sur les systèmes jugés trop insignifiants ou trop fortement protégés, réduisant ainsi l'empreinte de l'infection.

Jusqu'à présent, l'attaque SolarWinds n'a été attribuée à aucun des groupes APT (Advanced Persistent Threat) déjà établis. Il est à noter que les analystes infosec de Kaspersky ont réussi à découvrir un chevauchement de code entre le malware Sunburst et Kazuar, une souche de malware liée aux opérations du groupe de hackers Turla. Ce n'est cependant pas une preuve suffisante pour l'établissement d'un lien solide.