Sunspot kötü amaçlı yazılım bulundu. Siber güvenlik firması CrowdStrike, birkaç şirketin ve devlet kurumlarının uzlaşmasına yol açan tedarik zinciri saldırısı sırasında, SolarWinds korsanları tarafından Orion platform yapılarına arka kapıları enjekte etmek için kullanılan kötü amaçlı yazılımları keşfetti.
CrowdStrike tarafından adlandırılan Sunspot, SolarWinds’in Orion BT yönetim yazılımının geliştirme ortamındaki saldırganlar tarafından bırakıldı.
Kötü amaçlı yazılım, yürütüldükten sonra şirketin meşru kaynak kodunu kötü niyetli kodla değiştirerek bir Sunburst arka kapısını izler ve otomatik olarak enjekte eder.
CrowdStrike, “SUNSPOT’un tasarımı, StellarParticle geliştiricilerinin kodun doğru şekilde yerleştirildiğinden ve tespit edilmediğinden emin olmak için çok fazla çaba harcadığını ve derleme ortamındaki varlıklarını SolarWinds geliştiricilerine ifşa etmekten kaçınmak için operasyonel güvenliğe öncelik verdiğini gösteriyor” diyor.
SolarWinds CEO’su Sudhakar Ramakrishna, “Bu son derece sofistike ve yeni kod, SUNBURST zararlı kodunu yazılım geliştirme ve ekip oluşturma şüphesini uyandırmadan SolarWinds Orion platformuna enjekte etmek için tasarlandı,” diye ekledi .
SolarWinds korsanlarıyla bağlantılı üçüncü kötü amaçlı yazılım
Sunspot Bu, SolarWinds tedarik zinciri saldırısını araştırırken bulunan ve StellarParticle (CrowdStrike), UNC2452 (FireEye) ve Dark Halo (Volexity) olarak izlenen tehdit aktörüyle ilişkilendirilen üçüncü kötü amaçlı yazılım türüdür .
İkincisi , SolarWinds korsanları tarafından platformun yerleşik otomatik güncelleme mekanizması aracılığıyla truva atı haline getirilmiş Orion yapılarını kuran kuruluşların sistemlerine yerleştirilen Sunburst (Solorigate) arka kapı kötü amaçlı yazılımlarıdır .
FireEye, farklı yükler sağlayan birkaç Sunburst örneğini kurtardıktan sonra, Teardrop adında üçüncü bir kötü amaçlı yazılım buldu ; bu, önceden bilinmeyen bir yalnızca bellek düşürücü ve özelleştirilmiş Cobalt Strike işaretlerini dağıtmak için kullanılan bir sömürü sonrası araç.
StellarParticle korsanları ile bağlantılı olmayan ancak aynı zamanda truva atı haline getirilmiş Orion yapıları kullanılarak teslim edilen dördüncü bir kötü amaçlı yazılım da, SolarWinds tedarik zinciri saldırısını araştırırken Palo Alto Networks Unit 42 ve Microsoft tarafından keşfedildi.
SolarWinds korsanlarının kimliği henüz bilinmiyor
13 Aralık’ta SolarWind hackini öğrenmiş olsak da, sonuçlarının ilk açıklaması 8 Aralık’ta önde gelen siber güvenlik firması FireEye tarafından yapıldı ve bir ulus devlet hackleme grubu tarafından hacklendiğini ortaya çıkardı .
Saldırının bir parçası olarak, bilgisayar korsanları SolarWinds Orion inşa sistemine erişim sağladılar ve güneş patlaması arka kapısını SolarWinds Orion BT yönetim yazılımı tarafından kullanılan yasal bir DLL’ye enjekte ettiler. Bu DLL daha sonra bir tedarik zinciri saldırısında SolarWinds müşterilerine otomatik olarak dağıtıldı.
Olsa SolarWinds zaman çizelgesi saldırı Eylül 2019 yılında başlar, tarih en erken şüpheli etkinlik bu tedarik zinciri saldırının arkasında hack grubunun kimliği hâlâ bilinmemektedir, iç ağ SolarWinds üzerinde bulunduğunda.
Ancak Kaspersky , Sunburst arka kapısının Rus Turla bilgisayar korsanlığı grubuna geçici olarak bağlı bir .NET arka kapısı olan Kazuar ile örtüştüğünü öğrendikten sonra SolarWinds korsanları ile önceden bilinen bir siber casusluk grubu arasında bağlantı kuran ilk kişi oldu .
Kaspersky Küresel Araştırma ve Analiz Ekibi’nin (GReAT) direktörü Costin Raiu, “Belirlenen bağlantı SolarWinds saldırısının arkasında kimin olduğunu açığa çıkarmaz, ancak araştırmacıların bu araştırmada ilerlemelerine yardımcı olabilecek daha fazla içgörü sağlar,” dedi.
Bir hafta önce, FBI, CISA ve NSA ortak bir açıklamada , SolarWinds saldırısının arkasında Rus destekli bir Gelişmiş Kalıcı Tehdit (APT) grubunun muhtemelen olduğunu açıkladı .
SolarWinds CEO’su Sudhakar Ramakrishna bugün, “ABD hükümeti ve birçok özel sektör uzmanı, yabancı bir ulus devletin bu müdahaleci operasyonu Amerika’nın siber altyapısına yönelik yaygın bir saldırının parçası olarak yürüttüğüne inandığını belirtti.” Dedi.
