Alors que l’enquête sur l’attaque de la chaîne d’approvisionnement de SolarWinds se poursuit, les chercheurs en cybersécurité ont révélé une troisième souche de malware qui a été déployée dans l’environnement de construction pour injecter la porte dérobée dans la plate-forme de surveillance du réseau Orion de la société.
Appelé « Tache solaire, « la porte dérobée s’ajoute à une liste croissante de logiciels malveillants précédemment divulgués tels que Sunburst et Teardrop.
«Ce code très sophistiqué et novateur a été conçu pour injecter le code malveillant Sunburst dans la plate-forme SolarWinds Orion sans éveiller les soupçons de nos équipes de développement et de construction de logiciels», nouveau PDG de SolarWinds, Sudhakar Ramakrishna expliqué.
Alors que des preuves préliminaires ont montré que les opérateurs derrière la campagne d’espionnage ont réussi à compromettre l’infrastructure de construction de logiciels et de signature de code de la plate-forme SolarWinds Orion dès octobre 2019 pour fournir la porte dérobée Sunburst, les dernières découvertes révèlent un nouveau calendrier qui établit la première violation du réseau SolarWinds. le 4 septembre 2019 – tous réalisés dans le but de déployer Sunspot.
« Sunspot surveille les processus en cours pour ceux impliqués dans la compilation du produit Orion et remplace l’un des fichiers source pour inclure le code de porte dérobée Sunburst », ont déclaré les chercheurs de Crowdstrike dans une analyse de lundi.
Crowdstrike suit l’intrusion sous le surnom de «StellarParticle».
Une fois installé, le logiciel malveillant (« taskhostsvc.exe ») s’octroie des privilèges de débogage et se charge de sa tâche de pirater le flux de travail d’Orion en surveillant les processus logiciels en cours d’exécution sur le serveur, uniquement pour remplacer un fichier de code source dans le répertoire de construction par un variante malveillante pour injecter Sunburst pendant la construction d’Orion.
La version ultérieure d’octobre 2019 de la version d’Orion Platform semble avoir contenu des modifications conçues pour tester la capacité des auteurs à insérer du code dans nos versions », a déclaré Ramakrishna, faisant écho aux rapports précédents de ReversingLabs.
Le développement intervient alors que les chercheurs de Kaspersky ont découvert ce qui semble être une première connexion potentielle entre Sunburst et Kazuar, une famille de logiciels malveillants liée à la société russe de cyberespionnage sponsorisée par Turla.
La société de cybersécurité, cependant, s’est abstenue de tirer trop de déductions à partir des similitudes, suggérant plutôt que les chevauchements pourraient avoir été intentionnellement ajoutés pour induire en erreur l’attribution.
Alors que les chevauchements sont loin d’être un pistolet fumant liant le piratage à la Russie, les responsables du gouvernement américain la semaine dernière ont officiellement épinglé l’opération Solorigate sur un adversaire « probablement d’origine russe ».
