SolarWinds黑客入侵事件调查进展:第三款恶意软件浮出水面

为了评估黑客攻击事件对 SolarWinds 及其客户造成的严重影响 , 两家参与调查的安全公司之一的 CrowdStrike , 已经揭示了黑客是如何破坏 SolarWinds Orion 应用程序的构建过程的 。 CrowdStrike 今日表示 , 在此前曝光的 Sunburst(Solarigate)和 Teardrop 的基础上 , 其发现了与本次黑客攻击事件有关的第三款恶意软件 —— Sunspot!
SolarWinds黑客入侵事件调查进展:第三款恶意软件浮出水面文章插图
黑客攻击时间线(图自:SolarWinds)
【SolarWinds黑客入侵事件调查进展:第三款恶意软件浮出水面】CrowdStrike 补充道:尽管 Sunspot 的痕迹刚被发现 , 但它其实是黑客攻击 SolarWinds 所使用的第一款恶意软件 , 部署时间可追溯到首次侵入该公司内部网络的 2019 年 9 月 。
攻击者将恶意软件植入到了 SolarWinds 的应用程序构建服务器上 , 且 Sunspot 有一个独特的目的 , 即监视该服务器的构建命令 。
该服务器用于将功能封装到应用程序 , 而 SolarWinds 的 IT 资源监管平台又被全球超过 3.3 万个客户所使用 。
一旦检测到构建命令 , Sunspot 就会用加载了 Sunburst 恶意软件的文件、以无提示的方式来替换 Orion 应用程序内的源代码文件 , 从而导致 Orion 从源头就被污染 。
SolarWinds黑客入侵事件调查进展:第三款恶意软件浮出水面文章插图
在感染了 SolarWinds 和 Orion 客户的更新服务器之后 , 这些木马最终被安装到了许多客户的内部网络中 。
调查人员在许多企业和政府机构的内部网络内找到了被激活的 Sunburst 恶意软件 , 预计有大量受害者的数据被传递到了 SolarWinds 攻击者的手中 。
然后根据目标网络的轻重程度 , 黑客有选择地在某些系统上部署了功能更强大的 Teardrop 木马后门 , 同时将风险过高、或不再需要的 Sunburst 恶意软件从目标系统中移除 。
即便如此 , 安全研究人员还是找到了有关第三款恶意软件的蛛丝马迹 , 而 CrowdStrike 的最新调查证实它就是 Sunspot。