Perusahaan keamanan siber CrowdStrike, salah satu perusahaan yang terlibat langsung dalam penyelidikan serangan rantai pasokan SolarWinds, mengatakan mereka mengidentifikasi jenis malware ketiga yang terlibat langsung dalam peretasan tersebut.
Dinamakan Sunspot, temuan ini menambah strain malware Sunburst (Solorigate) dan Teardrop yang ditemukan sebelumnya.
Tapi sementara Sunspot adalah penemuan terbaru dalam peretasan SolarWinds, Crowdstrike mengatakan malware itu sebenarnya yang pertama digunakan.
Crowdstrike mengatakan bahwa Sunspot digunakan pada September 2019, ketika peretas pertama kali menembus jaringan internal SolarWinds.
Malware Sunspot diinstal pada build server SolarWinds, sejenis perangkat lunak yang digunakan oleh pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih besar.
CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal – yaitu, untuk mengawasi build server untuk perintah build yang merakit Orion.
Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file source code di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.
Dalam pengumuman terpisah yang diterbitkan di blognya, SolarWinds juga menerbitkan timeline peretasan tersebut. SolarWinds mengatakan bahwa sebelum malware Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara bulan September dan November 2019.
Sumber: ZDNet
