همان‌طور که پیش‌تر در اینجا به آن پرداخته شد در اواسط آذر ماه فاش شد که مهاجمان با اجرای یک حمله سایبری موفق بر ضد شرکت سولارویندز، اقدام به تزریق کد آلوده به یکی از فایل‌های نرم‌افزار SolarWinds Orion و تبدیل آن به یک در‌پشتی (Backdoor) با نام SUNBURST شده بودند. فایل مذکور نیز از طریق قابلیت به‌روزرسانی خودکار این نرم‌افزار به شبکه مشتریان سولارویندز راه یافته بود.

یافته‌های این حمله را می‌توان به موارد زیر خلاصه کرد:

•     مهاجمان در قالب تکنیک "زنجیره تأمین" (Supply Chain) نرم‌افزار SolarWinds Orion را هدف قرار داده بودند.
•     استراتژی مهاجمان و اقدامات صورت گرفته از سوی آن‌ها از دانش فنی و توان عملیاتی بسیار بالای این افراد حکایت دارد.
•     از مهاجمان این حمله با عنوان UNC2452 و SolarStorm یاد شده است.
•     بر طبق اعلام سولارویندز از میان بیش از 300 هزار مشتری این شرکت، کمتر از 18 هزار مشتری آن از نسخه آلوده Orion استفاده کرده‌اند.
•     مهاجمان با ایجاد یک در‌پشتی امضا شده (Digitally Signed Backdoor) با نام SUNBURST و انتشار آن در قالب یک افزونه SolarWinds Orion به شبکه مشتریان این محصول راه پیدا کردند.
•     کدهای مخرب منتقل شده از طریق SUNBURST، عمدتاً بدافزارهایی با نقش Dropper بوده‌اند که صرفاً بر روی حافظه اجرا می‌شده‌اند.
•     ترافیک برقرار شده با سرور فرماندهی (C2)، ترافیک Orion Improvement Program به نظر می آمدند.
•     بررسی‌های بعدی دو شرکت مایکروسافت و پالوآلتو نت‌ورکز نشان داد که بدافزار دیگری با نام SuperNova نیز با تکنیکی مشابه در کشورهای مختلف منتشر شده است. جزییات بیشتر در لینک‌های زیر:

در این گزارش آخرین نشانه‌های آلودگی(IoC) این بدافزار و راهکارهای ارائه شده از سوی برخی شرکت‌های امنیتی مورد بررسی قرار گرفته است.

فایلی با عملکرد Windows Installer Patch به‌عنوان ناقل نسخه مخرب SolarWinds Orion از طریق لینک زیر در دسترس قرار داشته است:
از قواعد Snort زیر می‌توان برای مقابله با این تهدید بهره برد: