martes, 19 de enero de 2021

Nueva información sobre al ciberataque a SolarWinds

SolarWinds ciberataque

      La investigación que sigue en curso ha revelado una tercera cepa de malware que se habría utilizado para inyectar la puerta trasera en la plataforma de monitoreo de la compañía, esto fue implementado en el entorno de complicación.

La herramienta utilizada en este caso fue Sunspot que según explica en nuevo CEO de SolarWinds, Sudhakar Ramakrishna, el código de la herramienta es altamente sofisticado, consiguiendo inyectar el código malicioso en la plataforma SolarWinds Orion sin que el equipo de desarrollo se diese cuenta de esta inyección.

Debido a una evidencia preliminar todo apuntaba que los operadores detrás del ataque habían conseguido comprometer la infraestructura de firma de código de SolarWinds Orion en octubre de 2019 instalando de esta forma una puerta trasera para Sunburst, unos últimos hallazgos revelan que el primer intento de comprometer SolarWinds sucedió el día 4 de septiembre de 2019, todo con la intención de implementar Sunspot.

Los investigadores de Crowdsitrke indicaron en un análisis del lunes de la semana pasada que Sunspot se encargó de monitorear los procesos en ejecución involucrados en la compilación de Orion y remplazar alguno de los archivos fuente por un código de puerta trasera para Sunburst.

El malware (“taskhostsvc.exe”) una vez instalado se otorgaba a sí mismo privilegios de depuración y empieza a monitorear los procesos de compilación de Orion, para posteriormente reemplazar un archivo de código fuente en el directorio de compilación con un archivo que contiene código malicioso, para de esta forma mientras se construye Orion inyectar Sunburst.


No hay comentarios:

Publicar un comentario