يوجد لدى برامج شركة SolarWinds ملف من صيغة (DLL) المسمى بـ (SolarWinds.Orion.Core.BusinessLayer.dll) والذي تم زراعة البرمجية الخبيثة داخله، البرمجية الخبيثة تتخاطب مع خادم المخترقين عن طريق بروتوكول HTTP. وتمت تسمية هذه البرمجية الخبيثة باسم SUNBURST.

البرمجية الخبيثة SUNBURST تمكن المخترقين من تطبيق أوامر على الأجهزة المصابة وبذلك يمكنهم التحرك في الشبكة أو سرقة البيانات، وهذه الطريقة هي التي استخدمها المخترقون في حادثة شركة FireEye ووزارة الخزانة الأمريكية وكذلك أنظمة البنية التحتية الرقمية للحكومة الأمريكية بعد أن ثبتوا التحديث الملغم بالبرمجية الخبيثة، وقدمت شركة SolarWinds إحصائية بأن 18 ألف مستخدم قاموا بتحميل التحديث الذي يوجد بداخله البرمجية الخبيثة SUNBURST.

إذا كنت تستخدم Orion المقدم من SolarWinds اتبع التالي كي تحمي شركتك:

• تأكد من عزل/احتواء خوادم SolarWinds حتى يتم إجراء المزيد من المراجعة والتحقيق. يشمل ذلك حظر جميع عمليات الخروج عبر الإنترنت من خوادم SolarWinds. وإذا لم تكن البنية التحتية لـ SolarWinds معزولة، فكر في اتخاذ الخطوات التالية:
• قم بحد النقاط التي يمكن الوصول اليها من خوادم SolarWinds خصوصًا النقاط التي تعتبر الأهم في الشركة.
• قم بحد صلاحيات المستخدمين الذين لديهم صلاحيات Local Administrator على خوادم SolarWinds.
• قم بحظر الوصول للإنترنت من جميع الخوادم التي تستعمل برامج SolarWinds.
• ضع في اعتبارك - على الأقل – تغيير كلمات المرور للحسابات التي يمكنها الوصول الى خوادم/بنية SolarWinds.
• إذا استُخدمَ SolarWinds لإدارة البنية التحتية للشبكات المُدارة، فكر في إجراء مراجعة لخصائص وتكوينات الأجهزة المستعملة للتأكد من خلوها من أي تعديلات غير مصرحة، مع ملاحظة أن هذا الإجراء احتياطي.

Highly Evasive Attacker Leverages SolarWinds Supply Chain to CompromiseMultiple Global Victims With SUNBURST Backdoor Dark Halo Leverages SolarWinds Compromise to Breach Organizations SunBurst: the next level of stealth