De backdoor die in officiële updates van softwarebedrijf SolarWinds zat verborgen werd via een ander malware-exemplaar toegevoegd. Dat stellen onderzoekers van securitybedrijf CrowdStrike dat onderzoek doet naar de aanval op SolarWinds. Het was al bekend dat aanvallers in 2019 toegang hadden gekregen tot de build-systemen van SolarWinds.
Zo konden de aanvallers updates voor het Orion Platform van SolarWinds van een backdoor voorzien. Deze backdoor wordt Sunburst genoemd. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop.
CrowdStrike maakt nu melding van een ander malware-exemplaar genaamd Sunspot. Deze malware werd op de systemen van SolarWinds gebruikt om de Sunburst-backdoor aan de Orion-updates toe te voegen. Eenmaal actief monitort Sunspot of op het systeem MsBuild.exe actief is. Dit is een onderdeel van Microsoft Visual Studio, dat wordt gebruikt voor het ontwikkelen van software.
Zodra de malware ziet dat MsBuild.exe inderdaad actief is, wordt vervolgens gekeken of het programma bezig is met het maken van de Orion-software. Wanneer dit het geval is zal de Sunspot-malware dit proces kapen en de Sunburst-backdoor injecteren. De malware kan de broncode van de software aanpassen voordat die door de compiler wordt gelezen.
Volgens de onderzoekers van CrowdStrike hebben de ontwikkelaars van de Sunspot-malware zeer veel moeite gedaan om ervoor te zorgen dat hun code op de juiste wijze werd geïnjecteerd en niet opviel. Zo zijn er verschillende maatregelen getroffen om te voorkomen dat zogeheten 'build errors' de SolarWinds-ontwikkelaars op de aanwezigheid van de malware konden wijzen. Hoe de systemen van SolarWinds besmet raakten is nog altijd niet openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.