Los investigadores de CrowdStrike, una de las firmas de ciberseguridad directamente involucrada en la investigación del reciente ataque a la cadena de suministro de SolarWinds , que causó un gran revuelo entre los profesionales de la ciberseguridad en diciembre pasado, dijeron que descubrieron una tercera cepa de malware que se implementó en el entorno de compilación para inyectar la puerta trasera en la plataforma de monitoreo de red SolarWinds Orion.
Apodado "Sunspot", el malware es la última incorporación a una lista cada vez mayor de herramientas maliciosas reveladas anteriormente, que, en la actualidad, incluye el software malicioso Sunburst y Teardrop.
“Este código altamente sofisticado y novedoso fue diseñado para inyectar el código malicioso SOLAR en la plataforma Orion SolarWinds sin despertar las sospechas de nuestros equipos de desarrollo de software y construir”, SolarWinds nuevo CEO Sudhakar Ramakrishna dijo .
CrowdStrike está rastreando esta intrusión como StellarParticle y no atribuye el implante Sunspot, la puerta trasera Sunburst o la herramienta de posexplotación Teardrop a ningún actor de amenazas conocido.
Según la firma de ciberseguridad, Sunspot monitorea los procesos en ejecución para aquellos involucrados en la compilación del producto Orion y reemplaza uno de los archivos fuente para incluir el código de puerta trasera Sunburst.
El diseño de SUNSPOT sugiere que los desarrolladores de StellarParticle invirtieron mucho esfuerzo para garantizar que el código se insertara correctamente y no se detectara, y priorizaron la seguridad operativa para evitar revelar su presencia en el entorno de construcción a los desarrolladores de SolarWinds”, dijeron los investigadores.
Según CrowdStrike, Sunspot se implementó en septiembre de 2019, cuando se produjo el compromiso inicial de la red interna de SolarWinds.
Una vez instalado, el malware ("taskhostsvc.exe") se otorga a sí mismo privilegios de depuración e intenta secuestrar el flujo de trabajo de compilación de Orion monitoreando los procesos de software en ejecución en el servidor y, posteriormente, reemplaza un archivo de código fuente en el directorio de compilación con una versión maliciosa para inyectar Sunburst mientras se construye Orion.
“La versión posterior de octubre de 2019 del lanzamiento de la Plataforma Orion parece haber contenido modificaciones diseñadas para probar la capacidad de los perpetradores para insertar código en nuestras compilaciones ... Una versión actualizada de la fuente de inyección de código malicioso que insertó el código malicioso SUNBURST en la Plataforma Orion lanzamientos a partir del 20 de febrero de 2020 ”, explicó Ramakrishna de SolarWinds.
En un informe separado publicado el lunes, Kaspersky dijo que ha descubierto algunas similitudes entre Sunburst y otra puerta trasera encontrada hace varios años llamada Kazuar, que se cree que es una herramienta en el arsenal del grupo de amenazas Turla (también conocido como Uroburos o Snake).
“Mientras miramos la puerta trasera Sunburst, descubrimos varias características que se superponen con una puerta trasera previamente identificada conocida como Kazuar. Kazuar es una puerta trasera .NET reportada por primera vez por Palo Alto en 2017. Palo Alto vinculó tentativamente a Kazuar con el grupo Turla APT, aunque no se ha hecho público ningún vínculo de atribución sólido. Nuestras propias observaciones confirman de hecho que Kazuar se usó junto con otras herramientas de Turla durante múltiples brechas en los últimos años ”, dijeron los investigadores. “Varias características inusuales compartidas entre Sunburst y Kazuar incluyen el algoritmo de generación de UID de la víctima, el algoritmo de suspensión y el uso extensivo del hash FNV-1a”.
