La investigación que sigue en curso ha revelado una tercera
cepa de malware que se habría utilizado para inyectar la puerta trasera en la
plataforma de monitoreo de la compañía, esto fue implementado en el entorno de
complicación.
La herramienta utilizada en este caso fue Sunspot que según explica
en nuevo CEO de SolarWinds, Sudhakar Ramakrishna, el código de la herramienta
es altamente sofisticado, consiguiendo inyectar el código malicioso en la
plataforma SolarWinds Orion sin que el equipo de desarrollo se diese cuenta de
esta inyección.
Debido a una evidencia preliminar todo apuntaba que los
operadores detrás del ataque habían conseguido comprometer la infraestructura
de firma de código de SolarWinds Orion en octubre de 2019 instalando de esta
forma una puerta trasera para Sunburst, unos últimos hallazgos revelan que el
primer intento de comprometer SolarWinds sucedió el día 4 de septiembre de 2019,
todo con la intención de implementar Sunspot.
Los investigadores de Crowdsitrke indicaron en un análisis
del lunes de la semana pasada que Sunspot se encargó de monitorear los procesos
en ejecución involucrados en la compilación de Orion y remplazar alguno de los
archivos fuente por un código de puerta trasera para Sunburst.
El malware (“taskhostsvc.exe”) una vez instalado se otorgaba
a sí mismo privilegios de depuración y empieza a monitorear los procesos de
compilación de Orion, para posteriormente reemplazar un archivo de código
fuente en el directorio de compilación con un archivo que contiene código
malicioso, para de esta forma mientras se construye Orion inyectar Sunburst.
