为了评估黑客攻击事件对 SolarWinds 两家参与调查的安全公司之一 及其客户的严重影响CrowdStrike,黑客是如何被破坏的SolarWinds Orion 构建应用程序的过程。CrowdStrike 目前表示,此前曝光的 Sunburst(Solarigate)和 Teardrop 在此基础上,发现了与黑客攻击有关的第三款恶意软件 —— Sunspot!
黑客攻击时间线(图自:SolarWinds)
CrowdStrike 补充道:尽管 Sunspot 的痕迹刚刚被发现,但实际上是黑客攻击 SolarWinds 使用的第一个恶意软件可以追溯到2019年 9月, 首次入侵公司内部网络。
攻击者将恶意软件植入 SolarWinds 的应用程序构建服务器上,且 Sunspot 有一个独特的目的,即监控服务器的构建命令。
SolarWinds 的 IT 全球资源监管平台超过 3.3 万客户使用。
一旦检测到构建命令,Sunspot 将加载 Sunburst 恶意软件文件,无提示替换 Orion 导致 Orion 从源头上被污染。
在感染了 SolarWinds 和 Orion 客户更新服务器后,这些木马最终安装在许多客户的内部网络中。
调查人员在许多企业和政府机构的内部网络中发现了被激活的 Sunburst 恶意软件,预计大量受害者的数据将传输到 SolarWinds 攻击者手中。
然后,根据目标网络的重量,黑客有选择地在某些系统上部署了更强大的 Teardrop 木马后门将风险过高或不再需要Sunburst 从目标系统中删除恶意软件。
即便如此,安全研究人员还是找到了第三个恶意软件的线索, CrowdStrike 的最新调查证实是 Sunspot 。