Al analizar el reciente ataque de seguridad de la cadena de suministro de SolarWinds , los investigadores han encontrado una segunda puerta trasera, lo que sugiere la participación de otro grupo de piratas informáticos, no relacionado con el supuesto actor de amenazas respaldado por el gobierno que comprometió a SolarWinds para contaminar su software oficial Orion con malware.
Rastreada como Supernova, la puerta trasera es un webshell inyectado en el código de SolarWinds Orion que permitiría a los actores de amenazas ejecutar código arbitrario en sistemas que ejecutan la versión comprometida de Orion. El shell web de Supernova se utilizó para descargar, compilar y ejecutar una secuencia de comandos de Powershell maliciosa (denominada CosmicGale por algunos investigadores). Además, Supernova no tiene una firma digital, a diferencia del malware Sunburst / Solarigate descubierto inicialmente que troyanó la biblioteca SolarWinds.Orion.Core.BusinessLayer.Dll, lo que puede indicar que hay un segundo grupo de piratas informáticos en funcionamiento.
Las firmas de seguridad Guidepoint , Symantec y Palo Alto Network publicaron informes con detalles técnicos sobre Supernova.
Según Palo Alto, el webshell es una versión maliciosa de una biblioteca .NET legítima (app_web_logoimagehandler.ashx.b6031896.dll) presente en la aplicación Orion, diseñada para permitirle permanecer oculta de los mecanismos de defensa automatizados.
El software de Orion usa la DLL para exponer una API HTTP, lo que permite al host responder a otros subsistemas cuando solicita una imagen GIF específica.
“SUPERNOVA se diferencia drásticamente en que toma un programa .NET válido como parámetro. La clase .NET, el método, los argumentos y los datos del código se compilan y ejecutan en la memoria. No hay artefactos forenses adicionales escritos en el disco, a diferencia de los stagers de webshell de bajo nivel, y no hay necesidad de devoluciones de llamada de red adicionales aparte de la solicitud C2 inicial ”, dijeron los investigadores. “En otras palabras, los atacantes han construido una API .NET sigilosa y completa incrustada en un binario de Orion, cuyo usuario suele tener muchos privilegios y una posición con un alto grado de visibilidad dentro de la red de una organización. Los atacantes pueden configurar SolarWinds de forma arbitraria (y cualquier función del sistema operativo local en Windows expuesta por .NET SDK) con código C # malicioso.
Los investigadores no han podido determinar cuándo se introdujo por primera vez la puerta trasera de Supernova en el software Orion.
Varios investigadores elaboraron listas de organizaciones que se habían visto afectadas por el ataque a la cadena de suministro de SolarWinds y tenían sus sistemas internos infectados con el malware Sunburst . La lista incluye empresas de tecnología, gobiernos locales, universidades, hospitales, bancos y proveedores de telecomunicaciones, con Cisco, SAP, Intel, VMWare, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Alcance digital y Sentido digital, por nombrar algunos.
