為了評估黑客攻擊事件對SolarWinds及其客戶造成的嚴重影響，兩家參與調查的安全公司之一的CrowdStrike，已經揭示了黑客是如何破壞SolarWinds Orion應用程序的構建過程的。CrowdStrike今日表示，在此前曝光的Sunburst（Solarigate）和Teardrop的基礎上，其發現了與本次黑客攻擊事件有關的第三款惡意軟件—— Sunspot！

黑客攻擊時間線（圖自：SolarWinds）

CrowdStrike 補充道：儘管Sunspot 的痕跡剛被發現，但它其實是黑客攻擊SolarWinds 所使用的第一款惡意軟件，部署時間可追溯到首次侵入該公司內部網絡的2019 年9 月。

攻擊者將惡意軟件植入到了SolarWinds 的應用程序構建服務器上，且Sunspot 有一個獨特的目的，即監視該服務器的構建命令。

該服務器用於將功能封裝到應用程序，而SolarWinds 的IT 資源監管平台又被全球超過3.3 萬個客戶所使用。

一旦檢測到構建命令，Sunspot 就會用加載了Sunburst 惡意軟件的文件、以無提示的方式來替換Orion 應用程序內的源代碼文件，從而導致Orion 從源頭就被污染。

在感染了SolarWinds 和Orion 客戶的更新服務器之後，這些木馬最終被安裝到了許多客戶的內部網絡中。

調查人員在許多企業和政府機構的內部網絡內找到了被激活的Sunburst 惡意軟件，預計有大量受害者的數據被傳遞到了SolarWinds 攻擊者的手中。

然後根據目標網絡的輕重程度，黑客有選擇地在某些系統上部署了功能更強大的Teardrop 木馬後門，同時將風險過高、或不再需要的Sunburst 惡意軟件從目標系統中移除。

即便如此，安全研究人員還是找到了有關第三款惡意軟件的蛛絲馬跡，而CrowdStrike 的最新調查證實它就是Sunspot 。