Nueva variante de malware detectada en el hackeo contra Solarwinds

Nueva variante de malware detectada en el hackeo contra Solarwinds

Expertos en ciberseguridad revelaron el hallazgo de una tercer variante de malware involucrada directamente en el ciberataque contra SolarWinds. Identificada como Sunspot, esta variante fue descubierta después del backdoor Sunburst/Solorigate y del malware Teardrop, no obstante, esta pudo haber sido la variante que desencadenó todo el ataque.

Los expertos de CrowdStrike, responsables del hallazgo, han invertido esfuerzos considerables tratando de rastrear a los actores de amenazas detrás del ataque SolarWinds, concluyendo que grupos como StellarParticle participaron en este incidente. Todo indica que los hackers usaron Sunspot para inyectar el backdoor Sunburst en las actualizaciones comprometidas.

Los investigadores señalan que Sunspot monitoreaba los procesos en ejecución vinculados en la compilación de Orion y reemplazaba uno de los archivos fuente para incluir el código del backdoor en la actualización: “Este malware contaba con los mecanismos necesarios para evitar que las compilaciones de Orion comprometidas fallaran, ya que esto podría alertar a los administradores sobre la presencia del código malicioso”, mencionan los expertos.

Cuando el malware detectaba un comando de compilación, se insertaba el código malicioso en la aplicación Orion y creaba una versión corrupta del software legítimo. Los atacantes dedicaron un gran esfuerzo en el desarrollo del código de Sunspot para garantizar que la inyección pasara inadvertida.

Los expertos incluyeron en el informe los indicadores de compromiso (IoC) para detectar esta nueva variante de malware. Por otra parte, SolarWinds también publicó una actalización sobre el ataque, agregando que Sunspot fue inyectado en las implementaciones vulnerables entre marzo y junio de 2020, aunque los actores de amenazas ejecutaron sus primeras pruebas incluso meses antes de iniciar la campaña de hacking.

“Nuestra investigación concluyó que el incidente comenzó a partir de septiembre de 2019, fecha en la que comenzamos a detectar actividad sospechosa en nuestros sistemas”, menciona el reporte de SolarWinds. Al parecer, la actualización de Orion para octubre de 2019 ya contaba con muestras de este malware.