Malware SUNSPOT
Los investigadores de Infosec han descubierto una tercera cepa separada de malware que fue parte del ataque masivo a la cadena de suministro contra SolarWinds, un proveedor líder de software de administración de TI. Los expertos de CrowdStrike, una de las firmas de seguridad que realiza una investigación formal de los incidentes, nombraron la nueva herramienta de malware Sunspot. Aunque Sunspot es la última amenaza que se descubre, parece que puede ser la primera en desplegarse en el ataque. Según los hallazgos, la amenaza de malware se inyectó en un servidor de compilación SolarWinds en septiembre de 2019. El objetivo era un software específico que los desarrolladores utilizan para ensamblar componentes más pequeños en aplicaciones de software más grandes.
Parece que los piratas informáticos aprovecharon diferentes cepas de malware en diferentes puntos del ataque que corresponden a sus necesidades específicas. Sunspot es el primero en ser entregado al objetivo comprometido, y tenía un único propósito: acechar dentro del servidor de compilación hasta que detecta los comandos de compilación que ensamblan Orion, uno de los productos insignia de SolarWinds, esta plataforma de monitoreo de recursos de TI es utilizada por más de 33.000 clientes repartidos por varios continentes. Cuando Sunspot se activa, comienza a sustituir archivos de código fuente específicos del programa sigilosamente por archivos corruptos capaces de cargar el malware de siguiente etapa llamado Sunburst. Los clientes de Orion con malware estaban disponibles en los servidores de actualización oficiales de SolarWinds desde donde los clientes desprevenidos de la compañía comenzarían a descargarlos.
Sunburst es la herramienta de reconocimiento de los atacantes, encargada de recopilar datos específicos de las víctimas comprometidas. El malware se activaría dentro de las redes de empresas privadas de los clientes de SolarWinds, donde recopilaría datos confidenciales del usuario y del sistema y los exfiltraría de nuevo a los piratas informáticos. La información obtenida por Sunburst se utiliza luego como base para decidir si la víctima específica es lo suficientemente esencial como para ser parte de la etapa final del ataque cuando se implementa el troyano de puerta trasera Teardrop, más poderoso. Se puede ordenar a Sunburst que se borre a sí mismo en sistemas que se consideren demasiado insignificantes o demasiado protegidos, lo que reduce la huella de la infección.
Hasta ahora, el ataque SolarWinds no se ha atribuido a ninguno de los grupos APT (Advanced Persistent Threat) ya establecidos. Cabe señalar que los analistas de seguridad de información de Kaspersky lograron descubrir una superposición de código entre el malware Sunburst y Kazuar, una cepa de malware vinculada a las operaciones del grupo de hackers Turla. Sin embargo, esto no es prueba suficiente para el establecimiento de una conexión firme.
