SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに

SolarWinds Orionプロダクトにバックドアを混在させた方法の詳細がCrowdStrikeの調査によって明らかになった。高度な技術を持った開発者が背後にいることが推測される。

[後藤大地，有限会社オングス]

　セキュリティ企業であるCrowdStrikeは2021年1月11日（現地時間）、「SolarWinds Orion」のビルドプロセスにどのようにしてバックドアが仕込まれたかを示す情報を自社の公式ブログで公開した。攻撃者はビルドプロセスをモニタリングし、巧妙にバックドアを仕込んだとしている。

　CrowdStrikeによると、攻撃者はSolarWinds Orionにバックドアを仕込む際、「SUNSPOT」と呼ばれるマルウェアを使っていた。これが一連のインシデントで最初に使われたマルウェアである可能性が高いとされている。CrowdStrikeはSUNSPOTについて次の内容を伝えている。

• SolarWinds Orion製品のビルド中にSunburstバックドアを混入させるために「SUNSPOT」と呼ばれるマルウェアを使った
• SUNSPOTはSolarWinds Orion製品のビルドに関係するプロセスをモニタリングし、一つのソースコードファイルを置き換えて製品にSunburstバックドアコードを混入させた
• SUNSPOTには、ビルドが失敗して開発者に攻撃者の存在が明らかになることを防ぐために、幾つかのセーフガード機能が追加されている

　CrowdStrikeの分析結果によると、SUNSPOTの開発者はSolarWinds Orionのプログラムにバックドアを仕込み、かつ、その存在を気付かれないようにするためにかなりの労力を割いた痕跡が見れるという。

SolarWindsへの攻撃で話題になる「StellarParticle」「UNC2452」「DarkHalo」は同じもの？