A CrowdStrike, uma das empresas envolvidas diretamente na investigação do ataque que utilizou um software da SolarWinds para infectar diversas empresas, disse que identificou uma terceira variação de malware envolvido no hack.
Batizada de Sunspot, a ameaça se junta ao Sunburst e Teardrop no ataque. No entanto, embora essa seja a descoberta mais recente, a CrowdStrike acredita que o malware foi o primeiro a ser usado – já que foi o responsável pela instalação de um backdoor.
Em um documento detalhando a descoberta, a empresa afirma que o Sunspot foi implantado em setembro de 2019, quando os hackers invadiram a rede interna da SolarWinds pela primeira vez.
A partir disso, após observar como o servidor de construção de comandos da empresa se comportava, ele conseguiu substituir silenciosamente partes do código-fonte dentro do aplicativo Orion, um dos principais produtos da SolarWinds, por arquivos contendo o malware Sunburst.
Isso fez com que o software da empresa ficasse infectado e pronto para atacar. No entanto, sua ativação ocorreria somente quando fosse instalado dentro de redes internas de empresas. Resultando em coletas de dados que foram enviados de volta para os hackers.
O esquema era tão bem planejado que, quando a equipe detectava que a vítima era importante, o Teardrop, uma versão mais poderosa da ameaça, entrava no sistema. Em contrapartida, redes consideradas insignificantes ou de alto risco tinham o Sunburst eliminado do software.
Sobreposições de códigos maliciosos
A Kaspersky, que não faz parte da investigação formal do ataque, divulgou que, durante uma análise do código-fonte do Sunburst, descobriu sobreposições de código entre a ameaça e o Kazuar, uma variante de malware ligada ao grupo Turla, de origem russa.
No entanto, a Kaspersky foi bastante cuidadosa em apontar apenas que encontrou “sobreposições de código”, mas não necessariamente que acredita que o grupo Turla orquestrou o ataque envolvendo a SolarWinds.
A empresa afirma que isso pode ter ocorrido como resultado de ideias semelhantes de codificação, compra do malware de uma mesma fonte ou simplesmente uma ação destinada a desviar a atenção para alguém inocente.
Ataque envolvendo a Solarwinds
No ano passado foi descoberto que o servidor de atualizações da SolarWinds, usado para distribuir seu software Orion, foi invadido por cibercriminosos que utilizaram a ferramenta para injetar secretamente um backdoor no código para que, em algum momento, fosse possível se infiltrar nos computadores dos clientes que instalaram o produto.
Estes clientes incluíam organizações governamentais e grandes corporações de todo o mundo – inclusive, a Microsoft admitiu recentemente que foi vítima da falha. Os responsáveis pela ação, segundo o Conselho de Segurança Nacional do governo dos Estados Unidos, provavelmente são espiões russos que buscam informações confidenciais e vitais.
“Este trabalho indica uma ameaça persistente e avançada, provavelmente russa na origem. No momento, acreditamos que este foi, e continua sendo, um esforço de coleta de inteligência. Estamos tomando todas as medidas necessárias para compreender o escopo total desta campanha e responder de acordo”, descreve um comunicado emitido pelo Conselho de Segurança dos EUA.
Via: ZDNet
Tags: