La herramienta utilizada en este caso fue Sunspot que según explica en nuevo CEO de SolarWinds, Sudhakar Ramakrishna, el código de la herramienta es altamente sofisticado, consiguiendo inyectar el código malicioso en la plataforma SolarWinds Orion sin que el equipo de desarrollo se diese cuenta de esta inyección.
Debido a una evidencia preliminar todo apuntaba que los operadores detrás del ataque habían conseguido comprometer la infraestructura de firma de código de SolarWinds Orion en octubre de 2019 instalando de esta forma una puerta trasera para Sunburst, unos últimos hallazgos revelan que el primer intento de comprometer SolarWinds sucedió el día 4 de septiembre de 2019, todo con la intención de implementar Sunspot.
Los investigadores de Crowdsitrke indicaron en un análisis del lunes de la semana pasada que Sunspot se encargó de monitorear los procesos en ejecución involucrados en la compilación de Orion y remplazar alguno de los archivos fuente por un código de puerta trasera para Sunburst.
El malware (“taskhostsvc.exe”) una vez instalado se otorgaba
a sí mismo privilegios de depuración y empieza a monitorear los procesos de
compilación de Orion, para posteriormente reemplazar un archivo de código
fuente en el directorio de compilación con un archivo que contiene código
malicioso, para de esta forma mientras se construye Orion inyectar Sunburst.
No hay comentarios:
Publicar un comentario