SolarWinds: Orion-aanval begon al in september 2019

De aanval op SolarWinds, het bedrijf achter de Orion-software die de spil is gebleken in een omvangrijke aanvalscampagne, is al in september 2019 begonnen.

Crowdstrike analyseert in een nieuw rapport de Sunspot malware. Dit is de derde malwarevariant die in verband is gebracht met de SolarWinds-aanval. Sunspot is naar verluid malware die is geïnstalleerd op een build server van SolarWinds, waarop kleinere softwarecomponenten worden gecombineerd tot een softwareapplicaties.

Sunspot en Sunburst

CrowdStrike meldt dat Sunspot specifiek is ingezet om te zoeken naar build-commando's gerelateerd aan het product Orion. Indien zo'n commando werd gedetecteerd, verving de Sunspot-malware stilletjes legitieme bestanden uit deze build voor malafide varianten voorzien van de Sunburst malware. Gebruikers die een legitieme versie van de Orion software installeerden, plaatsen hiermee ongemerkt ook de Sunburst malware op hun systeem.

Eenmaal actief op systemen van slachtoffers verzamelde de malware gegevens over zijn slachtoffers. Indien deze door de aanvallers interessant werden bevonden, werd de backdoor Teardrop uitgerold. Hiermee verzekerden de aanvallers zichzelf van toegang tot interessante gebruikers van Orion. Bleek het doelwit niet relevant of te risicovol? Dan kreeg de Sunburst-malware juist de opdracht zichzelf te verwijderen van het systeem.

In september 2019 gestart

SolarWinds zelfs meldt in een blogpost dat hoewel de Sunburst malware is uitgerold tussen maart en juni 2020, de aanvallers al langer actief waren op het netwerk. Zo zouden de aanvallers tussen september en november 2019 al een testrun hebben uitgevoerd. Ook hierbij werd malafide code geïnjecteerd in de legitieme broncode van de Orion-software.