SUNSPOT Malware
Infosec-Forscher haben einen dritten separaten Malware-Stamm entdeckt, der Teil des massiven Supply-Chain-Angriffs gegen SolarWinds, einen führenden Anbieter von IT-Management-Software, war. Die Experten von CrowdStrike, einer der Sicherheitsfirmen, die eine formelle Untersuchung der Vorfälle durchführten, nannten das neue Malware-Tool Sunspot. Obwohl Sunspot die letzte Bedrohung ist, die aufgedeckt wird, scheint es, dass es die erste ist, die bei dem Angriff eingesetzt wird. Den Ergebnissen zufolge wurde die Malware-Bedrohung bereits im September 2019 auf einen SolarWinds-Build-Server übertragen. Das Ziel war eine bestimmte Software, mit der Entwickler kleinere Komponenten zu größeren Softwareanwendungen zusammenfügen.
Es scheint, dass die Hacker an verschiedenen Punkten des Angriffs unterschiedliche Malware-Stämme eingesetzt haben, die ihren spezifischen Anforderungen entsprachen. Sunspot ist der erste, der auf das gefährdete Ziel übertragen wurde, und hatte einen einzigen Zweck: im Build-Server zu lauern, bis Build-Befehle erkannt werden, die Orion, eines der Flaggschiffprodukte von SolarWinds, zusammensetzen. Diese Plattform zur Überwachung von IT-Ressourcen wird von über 33.000 Kunden auf mehreren Kontinenten verwendet. Wenn Sunspot aktiviert wird, werden bestimmte Quellcodedateien des Programms heimlich durch beschädigte ersetzt, die die Malware der nächsten Stufe namens Sunburst laden können. Die mit Malware geschnürten Orion-Clients wurden auf den offiziellen SolarWinds-Update-Servern verfügbar gemacht, von denen die ahnungslosen Clients des Unternehmens sie herunterladen würden.
Sunburst ist das Aufklärungswerkzeug der Angreifer, das bestimmte Daten von den gefährdeten Opfern sammeln soll. Die Malware würde in den privaten Unternehmensnetzwerken der SolarWinds-Kunden aktiviert, wo sensible Benutzer- und Systemdaten erfasst und an die Hacker zurückgefiltert würden. Die von Sunburst erhaltenen Informationen werden dann als Grundlage verwendet, um zu entscheiden, ob das bestimmte Opfer wesentlich genug ist, um Teil der letzten Phase des Angriffs zu sein, wenn der leistungsstärkere Teardrop-Backdoor-Trojaner eingesetzt wird. Sunburst kann angewiesen werden, sich auf Systemen zu löschen, die als zu unbedeutend oder zu stark geschützt gelten, wodurch der Fußabdruck der Infektion verringert wird.
Bisher wurde der SolarWinds-Angriff keiner der bereits etablierten APT-Gruppen (Advanced Persistent Threat) zugeordnet. Es sei darauf hingewiesen, dass es den Infosec-Analysten von Kaspersky gelungen ist, Codeüberschneidungen zwischen der Sunburst-Malware und Kazuar zu entdecken, einem Malware-Stamm, der mit dem Betrieb der Turla-Hacker-Gruppe zusammenhängt. Dies ist jedoch kein ausreichender Beweis für die Herstellung einer festen Verbindung.
