SolarWinds 供应链攻击中的第三款恶意软件

研究员将这种恶意软件命名为 “Sunspot”，成为继 Sunburst (Solorigate) 和 Teardrop 之后的第三种恶意软件类型。但是，虽然 Sunspot 是最新发现的恶意软件，但 CrowdStrike 公司指出它实际上是最先被使用的。

CrowdStrike 公司发布报告指出，Sunspot 部署于2019年9月，当时黑客第一次攻陷了 SolarWinds 公司的内网。Sunspot 恶意软件被安装在 SolarWinds build 服务器（开发人员用于将更小的组件汇编到更大的软件应用中的一种软件类型）。

CrowdStrike 公司指出，Sunspot 的目的只有一个：观察汇编 Orion 产品的 build 命令的 build 服务器。一旦检测到 build 命令，它会悄悄用加载Sunburst 恶意软件的文件替换 Orion app 中的源代码文件，从而导致 Orioin app 版本也安装了 Sunburst 恶意软件。

这些木马化的 Orion 客户端最终出现在 SolarWinds 的官方更新服务器上且被安装在该公司很多客户的网络中。这种情况发生后，Sunburst 恶意软件将在企业和政府机构内网中激活，收集受害者信息并将信息发送给黑客。然后黑客确定受害者是否值得攻陷，并在这些系统上部署更加强大的 Teardrop 后门木马，而与此同时指令 Sunburst 从它认为不重要的或风险太高的网络中将自身删除。

不过本次新发现的 Sunspot 是 SolarWinds 供应链事件最近出现的三大主要动态更新之一。SolarWinds 公司发布博客文章也公开了该事件的时间线。该公司指出，2020年3月至6月期间，在 Sunburst 恶意软件被部署到客户网络之前，黑客在2019年9月至11月期间还执行了一种测试。该公司的首席执行官 Sudhakar Ramakrishna 表示，“Orion 平台后续的2019年10月版本似乎含有旨在测试黑客将代码插入 build 中的能力的修改。“ 这一点和 CrowdStrike 公司的报告一致。

卡巴斯基实验室也在今天早些时候发布了相关报告。虽然该公司并非调查该事件的官方成员，但它指出，在分析 Sunburst 恶意软件的源代码时发现 Sunburst 和 Kazuar 的代码之间存在重合之处，而 Kazuar 被指和俄罗斯最强大的国家黑客间谍组织 Turla 之间存在关联。

卡巴斯基实验室用词非常谨慎地表示，仅发现“代码重合”，但这并不意味着 Turla 组织参与了 SolarWinds 攻击活动。该公司提到，这种重合可能是由 SolarWinds 黑客使用同样的编程理念、从同一个编程者购买恶意软件、编程人员服务于不同的威胁行动者、或者可能只是一个伪旗而已。

相比安全公司对归属问题避而不谈的态度不同，上周，美国官方公开指责俄罗斯发动 SolarWinds 攻击事件，指出黑客“可能源自俄罗斯“。

美国政府发布的声明并未将矛头指向某个特定组织。虽然某些新闻媒体将其归咎于 APT29，但所有的安全公司和研究人员都呼吁谨慎对待且在调查早期不宜将其归咎于某个特定组织。

目前，SolarWinds 黑客获得不同命名，包括 UNC2452（火眼和微软）、DarkHalo (Volexity) 和 StellarParticle (CrowdStrike)，不过在获悉更多情况后，这些命名可能会有所变化。

目前最神秘的一点是，SolarWinds 黑客是如何设法攻陷该公司的网络并安装了 Sunspot 恶意软件？是利用未修复的 VPN、鱼叉式钓鱼攻击，还是利用密码可被猜测的被暴露的服务器？