黑客攻击时间线(图自:SolarWinds)
CrowdStrike补充道:尽管Sunspot的痕迹刚被发现,但它其实是黑客攻击SolarWinds所使用的第一款恶意软件,部署时间可追溯到首次侵入该公司内部网络的2019年9月。
攻击者将恶意软件植入到了SolarWinds的应用程序构建服务器上,且Sunspot有一个独特的目的,即监视该服务器的构建命令。
该服务器用于将功能封装到应用程序,而SolarWinds的IT资源监管平台又被全球超过3.3万个客户所使用。
一旦检测到构建命令,Sunspot就会用加载了Sunburst恶意软件的文件、以无提示的方式来替换Orion应用程序内的源代码文件,从而导致Orion从源头就被污染。
在感染了SolarWinds和Orion客户的更新服务器之后,这些木马最终被安装到了许多客户的内部网络中。
调查人员在许多企业和政府机构的内部网络内找到了被激活的Sunburst恶意软件,预计有大量受害者的数据被传递到了SolarWinds攻击者的手中。
然后根据目标网络的轻重程度,黑客有选择地在某些系统上部署了功能更强大的Teardrop木马后门,同时将风险过高、或不再需要的Sunburst恶意软件从目标系统中移除。
即便如此,安全研究人员还是找到了有关第三款恶意软件的蛛丝马迹,而CrowdStrike的最新调查证实它就是Sunspot。
