为了评估黑客攻击对SolarWinds及其客户的严重影响,参与调查的两家安全公司之一的CrowdStrike透露,黑客是如何破解SolarWindsOrion应用程序的构建过程。CrowdStrike目前表示,在此前曝光的Sunburst(Solarigate)和Teardrop的基础上,发现了与此次黑客事件相关的第三款恶意软件——Sunspot!黑客攻击时间线(图片来自:SolarWinds).攻击者在SolarWinds的应用程序构建服务器上植入了恶意软件,而Sunspot的独特目的是监视服务器的构建命令。该服务器用于将功能封装到应用程序中,而SolarWinds的IT资源治理平台被全球33,000多家客户使用。一旦检测到构建命令,Sunspot就会悄悄地将Orion应用程序中的源代码文件替换为加载了Sunburst恶意软件的文件,从而从源头上污染Orion。在感染了SolarWinds和Orion客户的更新服务器后,木马最终被安装到许多客户的内部网络中。调查人员在众多企业和政府机构的内部网络中发现了激活的Sunburst恶意软件,其中大量受害者的数据预计将传递给SolarWinds攻击者。然后,根据目标网络的严重程度,黑客有选择地在某些系统上部署了更强大的Teardrop木马后门,同时从目标系统中删除风险过高或不再需要的Sunburst恶意软件。尽管如此,安全研究人员还是发现了第三种恶意软件的迹象,CrowdStrike的最新调查证实它就是Sunspot。
