信息來源：51CTO

為了評估黑客攻擊事件對 SolarWinds 及其客戶造成的嚴(yán)重影響，兩家參與調(diào)查的安全公司之一的 CrowdStrike，已經(jīng)揭示了黑客是如何破壞 SolarWinds Orion 應(yīng)用程序的構(gòu)建過程的。CrowdStrike 目前表示，在此前曝光的 Sunburst(Solarigate)和 Teardrop 的基礎(chǔ)上，其發(fā)現(xiàn)了與本次黑客攻擊事件有關(guān)的第三款惡意軟件 —— Sunspot!

黑客攻擊時間線(圖自：SolarWinds)

CrowdStrike 補(bǔ)充道：盡管 Sunspot 的痕跡剛被發(fā)現(xiàn)，但它其實(shí)是黑客攻擊 SolarWinds 所使用的第一款惡意軟件，部署時間可追溯到首次侵入該公司內(nèi)部網(wǎng)絡(luò)的 2019 年 9 月。

攻擊者將惡意軟件植入到了 SolarWinds 的應(yīng)用程序構(gòu)建服務(wù)器上，且 Sunspot 有一個獨(dú)特的目的，即監(jiān)視該服務(wù)器的構(gòu)建命令。

該服務(wù)器用于將功能封裝到應(yīng)用程序，而 SolarWinds 的 IT 資源監(jiān)管平臺又被全球超過 3.3 萬個客戶所使用。

一旦檢測到構(gòu)建命令，Sunspot 就會用加載了 Sunburst 惡意軟件的文件、以無提示的方式來替換 Orion 應(yīng)用程序內(nèi)的源代碼文件，從而導(dǎo)致 Orion 從源頭就被污染。

在感染了 SolarWinds 和 Orion 客戶的更新服務(wù)器之后，這些木馬最終被安裝到了許多客戶的內(nèi)部網(wǎng)絡(luò)中。

調(diào)查人員在許多企業(yè)和政府機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)內(nèi)找到了被激活的 Sunburst 惡意軟件，預(yù)計有大量受害者的數(shù)據(jù)被傳遞到了 SolarWinds 攻擊者的手中。

然后根據(jù)目標(biāo)網(wǎng)絡(luò)的輕重程度，黑客有選擇地在某些系統(tǒng)上部署了功能更強(qiáng)大的 Teardrop 木馬后門，同時將風(fēng)險過高、或不再需要的 Sunburst 惡意軟件從目標(biāo)系統(tǒng)中移除。

即便如此，安全研究人員還是找到了有關(guān)第三款惡意軟件的蛛絲馬跡，而 CrowdStrike 的最新調(diào)查證實(shí)它就是 Sunspot 。