SUNBURST Malware

Med GoldSparrow i Malware

Oversæt til:

SUNBURST Malware er en ny trussel, der er leveret gennem en langvarig forsyningskædeangrebskampagne. Operationen har pågået siden mindst marts 2020. Ifølge forskere fra infosec kompromitterede trusselaktører SolarWinds Orion-softwares opdateringsmekanisme og tvang den til at begynde at levere SUNBURST Trojan-truslen.

Den største appel ved angreb på forsyningskæden er, at en succesfuld overtrædelse af et mål giver hackerne adgang til en stor delmængde af potentielle ofre. Faktisk er brugerne vant til at få deres software til at installere nye opdateringer automatisk og vil ikke nødvendigvis være opmærksomme på det. For yderligere at maskere sin tilstedeværelse påbegynder SUNBURST ikke sin truende aktivitet med det samme, men vælger i stedet at ligge lavt et stykke tid på det kompromitterede system. Trojanen blev derefter fuldt ud indsat mod udvalgte ofre, som hackerne viste betydelig interesse for. Indtil videre er over 2000 computersystemer, der tilhører 100 forskellige enheder, blevet opdaget som inficeret med de trojaniserede softwareopdateringer, der bærer SUNBURST.

Metoden anvendt af cyberkriminelle omfattede ændring af en legitim SolarWinds DLL kaldet SolarWinds.Orion.Core.BusinessLayer.dll. Hackerne tilføjede en ny klasse til filen ved navn OrionImprovementBusinessLayer, som kunne udføre en bred vifte af truende funktioner på den kompromitterede maskine. Blandt de trojanske funktioner opdagede infosec-forskere muligheden for at høste og exfiltrere følsomme oplysninger, manipulere fil- og registreringsdatabasesystemerne, få adgang til oplysninger om netværkskort, hente og udføre vilkårlig kode, genstarte systemet og en funktion til at afslutte sig selv.
Oplysningerne indsamlet af SUNBURST er både store og varierede. Truslen samler domænet, værtsnavnet, brugernavnet, OS-versionen, SID for administratorkontoen, mens den fra netværkskortene logger MACAddress, DHCPE aktiveret, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway osv.

Det skal bemærkes, at SUNBURST blev underskrevet ved hjælp af et certifikat om, at det blev udstedt af Symantec. Virksomheden præciserede, at det havde solgt sin certifikatmyndighed tilbage i 2018, og at det pågældende certifikat var et ældre certifikat, der stadig bruger Symantec-mærket.