Le logiciel malveillant SUNSPOT a été utilisé pour injecter la porte dérobée SolarWinds
Alors que l'enquête sur l'attaque de la chaîne d'approvisionnement de SolarWinds se poursuit, les chercheurs en cybersécurité ont révélé une troisième souche de malware qui a été déployée dans l'environnement de construction pour injecter la porte dérobée dans la plate-forme de surveillance du réseau Orion de la société.
Appelé «Sunspot», l'outil malveillant s'ajoute à une liste croissante de logiciels malveillants précédemment divulgués tels que Sunburst et Teardrop.
«Ce code novateur et hautement sophistiqué a été conçu pour injecter le code malveillant Sunburst dans la plate-forme SolarWinds Orion sans éveiller les soupçons de nos équipes de développement et de construction de logiciels», a expliqué le nouveau PDG de SolarWinds, Sudhakar Ramakrishna.
Alors que des preuves préliminaires ont montré que les opérateurs derrière la campagne d'espionnage ont réussi à compromettre l'infrastructure de construction de logiciels et de signature de code de la plate-forme SolarWinds Orion dès octobre 2019 pour fournir la porte dérobée Sunburst, les dernières découvertes révèlent un nouveau calendrier qui établit la première violation du réseau SolarWinds le 4 septembre 2019 - tous réalisés avec l'intention de déployer Sunspot.
"Sunspot surveille les processus en cours pour ceux impliqués dans la compilation du produit Orion et remplace l'un des fichiers source pour inclure le code de porte dérobée Sunburst", ont déclaré les chercheurs de Crowdstrike dans une analyse de lundi.
Crowdstrike suit l'intrusion sous le surnom de «StellarParticle»
Une fois installé, le logiciel malveillant ("taskhostsvc.exe") s'octroie des privilèges de débogage et se charge de sa tâche de détourner le flux de travail de construction d'Orion en surveillant les processus logiciels en cours d'exécution sur le serveur, puis de remplacer un fichier de code source dans le répertoire de construction par un fichier malveillant variante pour injecter Sunburst pendant la construction d'Orion.
"La version ultérieure d'octobre 2019 de la version d'Orion Platform semble avoir contenu des modifications conçues pour tester la capacité des auteurs à insérer du code dans nos versions", a déclaré Ramakrishna, faisant écho aux rapports précédents de ReversingLabs.
Le développement intervient alors que les chercheurs de Kaspersky ont découvert ce qui semble être une première connexion potentielle entre Sunburst et Kazuar, une famille de logiciels malveillants liée à la société de cyberespionnage sponsorisée par l'État russe Turla.
La société de cybersécurité, cependant, s'est abstenue de tirer trop de déductions à partir des similitudes, suggérant plutôt que les chevauchements pourraient avoir été intentionnellement ajoutés pour induire en erreur l'attribution.
Alors que les similitudes liant le piratage à la Russie sont loin d'être évidentes, les responsables du gouvernement américain la semaine dernière ont officiellement épinglé l'opération Solorigate sur un adversaire "probablement d'origine russe".
Source : The Hacker News