Malware ontdekt die backdoor aan SolarWinds-updates toevoegde
De backdoor die in officiële updates van softwarebedrijf SolarWinds zat verborgen werd via een ander malware-exemplaar toegevoegd. Dat stellen onderzoekers van securitybedrijf CrowdStrike dat onderzoek doet naar de aanval op SolarWinds. Het was al bekend dat aanvallers in 2019 toegang hadden gekregen tot de build-systemen van SolarWinds.
Zo konden de aanvallers updates voor het Orion Platform van SolarWinds van een backdoor voorzien. Deze backdoor wordt Sunburst genoemd. Zodra klanten van SolarWinds de Orion-updates installeerden waren hun systemen via de backdoor toegankelijk. Bij bepaalde slachtoffers installeerden de aanvallers aanvullende malware. Het gaat onder andere om een exemplaar genaamd Teardrop.
CrowdStrike maakt nu melding van een ander malware-exemplaar genaamd Sunspot. Deze malware werd op de systemen van SolarWinds gebruikt om de Sunburst-backdoor aan de Orion-updates toe te voegen. Eenmaal actief monitort Sunspot of op het systeem MsBuild.exe actief is. Dit is een onderdeel van Microsoft Visual Studio, dat wordt gebruikt voor het ontwikkelen van software.
Zodra de malware ziet dat MsBuild.exe inderdaad actief is, wordt vervolgens gekeken of het programma bezig is met het maken van de Orion-software. Wanneer dit het geval is zal de Sunspot-malware dit proces kapen en de Sunburst-backdoor injecteren. De malware kan de broncode van de software aanpassen voordat die door de compiler wordt gelezen.
Volgens de onderzoekers van CrowdStrike hebben de ontwikkelaars van de Sunspot-malware zeer veel moeite gedaan om ervoor te zorgen dat hun code op de juiste wijze werd geïnjecteerd en niet opviel. Zo zijn er verschillende maatregelen getroffen om te voorkomen dat zogeheten 'build errors' de SolarWinds-ontwikkelaars op de aanwezigheid van de malware konden wijzen. Hoe de systemen van SolarWinds besmet raakten is nog altijd niet openbaar gemaakt.
Zaken zijn niet altijd zoals ze voorgesteld worden.
De gelegenheid maakt namelijk de malcreant/hacker.
Als je dus de hekken weghaalt en wat wenkjes geeft aan de overtreders zogezegd?
Gelegenheid bieders voor en met een bepaald doel.
Mensen geloven steeds meer de verhaaltjes zoals ze verteld worden.
Toevalligheden, die nooit bestaan of hebben bestaan.
Er kan dan later altijd de gewenste spin aan gegeven worden.
#sockpuppet.
Closed source Anti-virus en backup agents zijn ook populair, maar de ultieme hack blijft windows update. Ik kijk uit naar morgen.
Ook met discipline lukt niet iedere middelmatige hacker dit.
Closed source Anti-virus en backup agents zijn ook populair, maar de ultieme hack blijft windows update. Ik kijk uit naar morgen.
Probeer je maar eens tegen professionele hackers te beveiligen. Welk OS je draait maakt niet uit, deze personen hebben meestal geen haast hebben ongelimiteerde resources ter beschikking.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.