matrix-2365562_1280.jpg

Malware Sunspot foi usado para instalar backdoor no SolarWinds

Pesquisadores de segurança cibernética divulgaram uma terceira cepa de malware que foi usada para instalar backdoor na plataforma
Da Redação
12/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

À medida que a investigação sobre o ataque à cadeia de suprimentos da empresa de tecnologia norte-americana SolarWinds avança, pesquisadores de segurança cibernética divulgaram uma terceira cepa de malware que foi usada para instalar backdoor na plataforma de monitoramento de rede Orion da empresa. 

Denominada “Sunspot”, a cepa maligna vem sendo adicionada a uma lista crescente de softwares mal-intencionados divulgados anteriormente, como o Sunburst e o Teardrop. “Esse código altamente sofisticado e inovador foi projetado para implantar o código malicioso Sunburst na SolarWinds Orion Platform, sem levantar suspeita em nossas equipes de desenvolvimento de software”, explicou o novo CEO da SolarWinds, Sudhakar Ramakrishna, em declaração à imprensa internacional. 

Evidências preliminares apontam que os hackers por trás da campanha de espionagem conseguiram comprometer o desenvolvimento do software e a infraestrutura de assinatura de código da plataforma SolarWinds Orion já em outubro de 2019 para implantar a backdoor Sunburst. As últimas descobertas revelam um novo cronograma que estabelece a primeira violação da SolarWinds em 4 de setembro de 2019 — tudo realizado com a intenção de implantar o Sunspot. 

“O Sunspot monitora os processos em execução dos envolvidos na compilação do Orion e substitui um dos arquivos de origem para incluir o código de backdoor do Sunburst”, disseram os pesquisadores da empresa de segurança cibernética Crowdstrike em uma análise divulgada na segunda-feira, 11. A Crowdstrike está rastreando a intrusão sob o apelido de “StellarParticle”. Uma vez instalado, o malware (“taskhostsvc.exe”) concede a si mesmo privilégios de depuração e define como tarefa sequestrar o fluxo de trabalho de compilação do Orion monitorando os processos de software em execução no servidor e, posteriormente, substitui um arquivo de código-fonte no diretório de compilação por uma variante para instalar o Sunburst enquanto o Orion está sendo construído. 

Veja isso
Invasores da SolarWinds acessaram código-fonte da Microsoft
Força-tarefa acusa Rússia pelas invasões do SolarWinds

A versão subsequente de outubro de 2019 da Orion Platform parece ter contido modificações projetadas para testar a capacidade dos hackers de inserir código em nossas compilações”, disse Ramakrishna, ecoando relatórios anteriores do ReversingLabs. 

O anúncio da nova cepa do malware ocorre no momento em que pesquisadores da Kaspersky revelam o que parece ser a primeira conexão potencial entre o Sunburst e o Kazuar, uma família de malware ligada à organização russa de espionagem cibernética Turla patrocinada pelo governo. A empresa de segurança cibernética, no entanto, evitou fazer muitas inferências sobre semelhanças, sugerindo que as sobreposições podem ter sido adicionadas intencionalmente para enganar a atribuição.

Embora as semelhanças estejam longe de ser uma prova ligando o hack à Rússia, funcionários do governo dos EUA atribuíram formalmente na semana passada a operação Solorigate a um ataque “provavelmente de origem russa”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest