Специалисты CrowdStrike, расследующие недавнюю атаку на SolarWinds и ее клиентов, заявили, что обнаружили уже третью малварь, задействованную в этой операции. Вредонос получил название Sunspot.
Отчет Crowdstrike гласит, что хотя малварь Sunspot была обнаружена последней, хакеры использовали ее первой: она была развернута еще в сентябре 2019 года, когда злоумышленники впервые проникли во внутреннюю сеть SolarWinds. Тогда Sunspot была установлена на билд-сервере компании.
Эта малварь преследовала одну единственную цель — должна была следить за билд-сервером в ожидании команд, связанных с платформой Orion, которую в итоге и скомпрометировали злоумышленники, а клиенты компании установили зараженные версии. Так, если Sunspot обнаруживала билд-команду для Orion, она незаметно подменяла файлы внутри приложения вредоносными файлами с бэкдором SUNBURST.
Когда зараженная версия Orion была установлена в сетях клиентов (компаний и госучреждений), SUNBURST активизировался, собирал данные о жертвах, а затем отправлял эту информацию свои операторам. Если в итоге хакеры решали, что жертва является перспективной целью для развития атаки, они удаляли SUNBURST и заменяли его на более мощный бэкдор-троян Teardrop.