À medida que a investigação sobre o ataque à cadeia de suprimentos da empresa de tecnologia norte-americana SolarWinds avança, pesquisadores de segurança cibernética divulgaram uma terceira cepa de malware que foi usada para instalar backdoor na plataforma de monitoramento de rede Orion da empresa.
Denominada “Sunspot”, a cepa maligna vem sendo adicionada a uma lista crescente de softwares mal-intencionados divulgados anteriormente, como o Sunburst e o Teardrop. “Esse código altamente sofisticado e inovador foi projetado para implantar o código malicioso Sunburst na SolarWinds Orion Platform, sem levantar suspeita em nossas equipes de desenvolvimento de software”, explicou o novo CEO da SolarWinds, Sudhakar Ramakrishna, em declaração à imprensa internacional.
Evidências preliminares apontam que os hackers por trás da campanha de espionagem conseguiram comprometer o desenvolvimento do software e a infraestrutura de assinatura de código da plataforma SolarWinds Orion já em outubro de 2019 para implantar a backdoor Sunburst. As últimas descobertas revelam um novo cronograma que estabelece a primeira violação da SolarWinds em 4 de setembro de 2019 — tudo realizado com a intenção de implantar o Sunspot.
“O Sunspot monitora os processos em execução dos envolvidos na compilação do Orion e substitui um dos arquivos de origem para incluir o código de backdoor do Sunburst”, disseram os pesquisadores da empresa de segurança cibernética Crowdstrike em uma análise divulgada na segunda-feira, 11. A Crowdstrike está rastreando a intrusão sob o apelido de “StellarParticle”. Uma vez instalado, o malware (“taskhostsvc.exe”) concede a si mesmo privilégios de depuração e define como tarefa sequestrar o fluxo de trabalho de compilação do Orion monitorando os processos de software em execução no servidor e, posteriormente, substitui um arquivo de código-fonte no diretório de compilação por uma variante para instalar o Sunburst enquanto o Orion está sendo construído.
Veja isso
Invasores da SolarWinds acessaram código-fonte da Microsoft
Força-tarefa acusa Rússia pelas invasões do SolarWinds
A versão subsequente de outubro de 2019 da Orion Platform parece ter contido modificações projetadas para testar a capacidade dos hackers de inserir código em nossas compilações”, disse Ramakrishna, ecoando relatórios anteriores do ReversingLabs.
O anúncio da nova cepa do malware ocorre no momento em que pesquisadores da Kaspersky revelam o que parece ser a primeira conexão potencial entre o Sunburst e o Kazuar, uma família de malware ligada à organização russa de espionagem cibernética Turla patrocinada pelo governo. A empresa de segurança cibernética, no entanto, evitou fazer muitas inferências sobre semelhanças, sugerindo que as sobreposições podem ter sido adicionadas intencionalmente para enganar a atribuição.
Embora as semelhanças estejam longe de ser uma prova ligando o hack à Rússia, funcionários do governo dos EUA atribuíram formalmente na semana passada a operação Solorigate a um ataque “provavelmente de origem russa”.