CrowdStrike, l’une des sociétés de cybersécurité appelées par la société de gestion informatique SolarWinds pour enquêter sur l’attaque de la chaîne d’approvisionnement récemment révélée, a partagé lundi des détails sur un logiciel malveillant utilisé par les attaquants pour insérer une porte dérobée dans le produit Orion de SolarWinds.

Selon CrowdStrike, le groupe de menaces derrière l’attaque de SolarWinds a utilisé un logiciel malveillant nommé Tache solaire pour injecter la porte dérobée Sunburst précédemment analysée dans le produit Orion sans être détecté.

SolarWinds a déclaré que les attaquants avaient créé des mises à jour d’Orion trojanized contenant la porte dérobée Sunburst et les avaient livrées à pas moins de 18 000 clients. Cependant, il semble que seules quelques centaines de ces clients intéressaient les attaquants et recevaient des charges utiles secondaires, comme l’outil de post-exploitation nommé Teardrop.

Une analyse menée par CrowdStrike a révélé que les pirates avaient déployé Sunspot sur les systèmes SolarWinds. Sunspot est conçu pour vérifier chaque seconde la présence de processus associés à la compilation du produit Orion sur le système compromis. Si un tel processus est détecté, Sunspot remplace un seul fichier de code source pour inclure la porte dérobée Sunburst.

Plus précisément, Sunspot recherche le MsBuild.exe processus, qui est associé aux outils de développement Microsoft Visual Studio. Si le processus est détecté, il tente de déterminer s’il est utilisé pour créer le logiciel Orion.

«Lorsque SUNSPOT trouve le chemin du fichier de la solution Orion dans un processus MsBuild.exe en cours d’exécution, il remplace un fichier de code source dans le répertoire de la solution, par une variante malveillante pour injecter SUNBURST pendant la construction d’Orion», a expliqué CrowdStrike. « Alors que SUNSPOT prend en charge le remplacement de plusieurs fichiers, la copie identifiée remplace uniquement InventoryManager.cs. »

Mises à jour continues: tout ce que vous devez savoir sur l’attaque SolarWinds

CrowdStrike a déclaré que les attaquants avaient désinfecté la source Sunburst …

Voir la source de cette publication