Компания по мониторингу сети SolarWinds опубликовала дальнейший анализ того, как ее платформа Orion была скомпрометирована и использована для взлома Казначейства США и других правительственных учреждений, а также ИТ-компаний, таких как Microsoft и поставщик безопасности FireEye.
Работая с консультантами по менеджменту KPMG, юридической фирмой DLA Piper и охранной фирмой CrowdStrike, SolarWinds удалось установить, как и когда вредоносный бэкдор SUNBURST был вставлен в процесс сборки плагина Orion.
Назвав его «очень сложным и сложным вредоносным ПО, предназначенным для обхода обнаружения угроз», SolarWinds, KPMG и CrowdStrike реверсивно спроектировали код SUNBURST.
Анализ показывает, что злоумышленники использовали другую вредоносную программу, названную SUNSPOT, чтобы вставить в Orion код, который был тщательно обработан, чтобы не быть обнаруженным разработчиками SolarWinds, просматривающими исходный код, или через предупреждения времени компиляции во время процесса сборки.
СОЛНЕЧНОЕ ПЯТНО тоже было тщательно разработано, чтобы избежать обнаружения при беге.
Злоумышленники приложили значительные усилия в течение длительного периода времени, чтобы гарантировать, что их вредоносное ПО может быть имплантировано в Orion.
Это включало в себя получение доступа к SolarWinds уже в сентябре 2019 года и запуск тестового кода до ноября того же года, чтобы гарантировать, что взлом пройдет гладко и незаметно.
Фактическая атака, в результате которой клиенты SolarWinds были скомпрометированы, началась 2 февраля 2020 года, когда участники угрозы компилировали и развертывали SUNBURST.
SUNBURST был удален из среды SolarWinds злоумышленниками в июне 2020 года.
Однако только 12 декабря прошлого года SolarWinds был уведомлен поставщиком безопасности FireEye о том, что сложная цепная атака suplly была идентифицирована.
В рамках расследования взлома SolarWinds выявила два инцидента с поддержкой клиентов в ноябре, а затем в декабре, которые, по мнению компании, были связаны с SUNBURST, но не идентифицированы как таковые.
В отличие от правительства США, которое официально возложило вину за атаку на российских хакеров, спонсируемых государством, SolarWinds заявляет, что ее расследование до сих пор не смогло проверить личность участников угрозы.
Поскольку злоумышленники управляли вторжением через несколько серверов в США и имитировали законный сетевой трафик, SolarWinds говорит, что им удалось избежать обнаружения угроз.