La compromission de SolarWinds Orion : TEARDROP et SUNBURST

TEARDROP : est un chargeur conçu pour décrypter et exécuter une charge utile embarquée sur le système cible. La charge utile a été identifiée comme l'implant Cobalt Strike Beacon (version 4) et fournit des capacités de commande et de contrôle d'opérateur à distance sur un système victime via un tunnel réseau crypté. Les capacités incluent la capacité d'exfiltrer rapidement les données, de consigner les frappes au clavier, de prendre des captures d'écran et de déployer des charges utiles supplémentaires. SUNBURST : livrée dans le cadre de certaines mises à jour de SolarWinds, à travers la version cheval de Troie de «solarwinds.orion.core.businesslayer.dll». La bibliothèque de liens dynamiques (DLL) modifiée contient une porte dérobée masquée qui permet à un opérateur distant d'exécuter diverses fonctions sur le système compromis, ainsi que de déployer des charges utiles supplémentaires et d'exfiltrer les données. Le code SUNBURST intégré crypte ses communications sortantes vers l'opérateur distant à l'aide du cryptage XOR et du codage Base64 modifié. Pour maintenir un profil bas, le code SUNBURST ne s'exécutera pas s'il détecte certains logiciels de sécurité en cours d'exécution sur le système cible.