image

Malware ontdekt die backdoor aan SolarWinds-updates toevoegde

dinsdag 12 januari 2021, 09:48 door Redactie, 7 reacties

De backdoor die in officiële updates van softwarebedrijf SolarWinds zat verborgen werd via een ander malware-exemplaar toegevoegd. Dat stellen onderzoekers van securitybedrijf CrowdStrike dat onderzoek doet naar de aanval op SolarWinds. Het was al bekend dat aanvallers in 2019 toegang hadden gekregen tot de build-systemen van SolarWinds.

Zo konden de aanvallers updates voor het Orion Platform van SolarWinds van een backdoor voorzien. Deze backdoor wordt Sunburst genoemd. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop.

CrowdStrike maakt nu melding van een ander malware-exemplaar genaamd Sunspot. Deze malware werd op de systemen van SolarWinds gebruikt om de Sunburst-backdoor aan de Orion-updates toe te voegen. Eenmaal actief monitort Sunspot of op het systeem MsBuild.exe actief is. Dit is een onderdeel van Microsoft Visual Studio, dat wordt gebruikt voor het ontwikkelen van software.

Zodra de malware ziet dat MsBuild.exe inderdaad actief is, wordt vervolgens gekeken of het programma bezig is met het maken van de Orion-software. Wanneer dit het geval is zal de Sunspot-malware dit proces kapen en de Sunburst-backdoor injecteren. De malware kan de broncode van de software aanpassen voordat die door de compiler wordt gelezen.

Volgens de onderzoekers van CrowdStrike hebben de ontwikkelaars van de Sunspot-malware zeer veel moeite gedaan om ervoor te zorgen dat hun code op de juiste wijze werd geïnjecteerd en niet opviel. Zo zijn er verschillende maatregelen getroffen om te voorkomen dat zogeheten 'build errors' de SolarWinds-ontwikkelaars op de aanwezigheid van de malware konden wijzen. Hoe de systemen van SolarWinds besmet raakten is nog altijd niet openbaar gemaakt.

Reacties (7)
12-01-2021, 09:52 door Anoniem
Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
12-01-2021, 10:42 door Anoniem
Of werd het zo lang met opzet onder de pet gehouden.
Zaken zijn niet altijd zoals ze voorgesteld worden.

De gelegenheid maakt namelijk de malcreant/hacker.
Als je dus de hekken weghaalt en wat wenkjes geeft aan de overtreders zogezegd?
Gelegenheid bieders voor en met een bepaald doel.

Mensen geloven steeds meer de verhaaltjes zoals ze verteld worden.
Toevalligheden, die nooit bestaan of hebben bestaan.
Er kan dan later altijd de gewenste spin aan gegeven worden.

#sockpuppet.
12-01-2021, 11:17 door Anoniem
Door Anoniem: Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
In mijn ogen overduidelijk een heel gerichte aanval op Solarwinds en inderdaad, extreem zorgvuldig. Dat versterkt het beeld dat deze aanval bewust is gedaan om via Solarwinds bij andere (belangrijke) organisaties binnen te komen. Dit heeft er alles weg van dat er statelijke actoren achter zitten.
12-01-2021, 12:09 door Anoniem
Door Anoniem:
Door Anoniem: Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
In mijn ogen overduidelijk een heel gerichte aanval op Solarwinds en inderdaad, extreem zorgvuldig. Dat versterkt het beeld dat deze aanval bewust is gedaan om via Solarwinds bij andere (belangrijke) organisaties binnen te komen. Dit heeft er alles weg van dat er statelijke actoren achter zitten.
"Supply chain" aanvallen zijn natuurlijk niet nieuw: (toe)leverancier binnen dringen, om vervolgens ongezien bij de klanten van dat bedrijf binnen te komen. Erg vernuftig en inderdaad dusdanig professioneel opgezet dat het lastig is andere dan statelijke actoren hiervoor aan te wijzen.
12-01-2021, 12:45 door walmare
Door Anoniem:
Door Anoniem: Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
In mijn ogen overduidelijk een heel gerichte aanval op Solarwinds en inderdaad, extreem zorgvuldig. Dat versterkt het beeld dat deze aanval bewust is gedaan om via Solarwinds bij andere (belangrijke) organisaties binnen te komen. Dit heeft er alles weg van dat er statelijke actoren achter zitten.
Welnee joh. Elke middelmatige hacker weet dit, alleen niet iedereen is zo gedisciplineerd om sporen op te ruimen.
Closed source Anti-virus en backup agents zijn ook populair, maar de ultieme hack blijft windows update. Ik kijk uit naar morgen.
12-01-2021, 14:10 door Anoniem
Elke middelmatige hacker weet dit, alleen niet iedereen is zo gedisciplineerd om sporen op te ruimen.

Ook met discipline lukt niet iedere middelmatige hacker dit.
12-01-2021, 14:13 door Anoniem
Door Anoniem: Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
Het is ook heel lastig om je tegen professionele (overheids) hackers te beveiligen. Die hebben immers alle resources, kennen, tijd en geld ter beschikking.

Door walmare:
Door Anoniem:
Door Anoniem: Ik blijf het zeer knap vinden hoe ze dit op poten hebben weten te zetten en uitgevoerd. Om zo lang niet gedetecteerd te blijven.
In mijn ogen overduidelijk een heel gerichte aanval op Solarwinds en inderdaad, extreem zorgvuldig. Dat versterkt het beeld dat deze aanval bewust is gedaan om via Solarwinds bij andere (belangrijke) organisaties binnen te komen. Dit heeft er alles weg van dat er statelijke actoren achter zitten.
Welnee joh. Elke middelmatige hacker weet dit, alleen niet iedereen is zo gedisciplineerd om sporen op te ruimen.
Closed source Anti-virus en backup agents zijn ook populair, maar de ultieme hack blijft windows update. Ik kijk uit naar morgen.
BlaBlaBla.
Probeer je maar eens tegen professionele hackers te beveiligen. Welk OS je draait maakt niet uit, deze personen hebben meestal geen haast hebben ongelimiteerde resources ter beschikking.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.