# SUNBURST > Tipo: **backdoor** (supply chain) · S0559 · [MITRE ATT&CK](https://attack.mitre.org/software/S0559) ## Visão Geral [[s0559-sunburst|SUNBURST]] (também conhecido como Solorigaté) e uma DLL trojanizada inserida diretamente no pipeline de build do software [[_solarwinds|SolarWinds]] Orion pelo [[g0016-apt29|APT29]] - o grupo de espionagem russo também conhecido como NOBELIUM e Cozy Bear. Descoberta em dezembro de 2020 pela FireEye, a campanha havia estado ativa desde pelo menos fevereiro de 2020, com preparação iniciada ainda em 2019. O SUNBURST representa um dos ataques de cadeia de suprimentos de software mais sofisticados já documentados: aproximadamente 18.000 organizacoes instalaram as atualizacoes contaminadas, embora o [[g0016-apt29|APT29]] tenha ativado o backdoor seletivamente em menos de 100 alvos de alto valor. A genialidade técnica do SUNBURST reside no vetor de entrega: o código malicioso foi injetado diretamente no código-fonte antes da compilacao, usando uma ferramenta chamada [[s0562-sunspot|SUNSPOT]]. O binario resultante foi digitalmente assinado com certificados legitimos da SolarWinds, tornando-o indistinguivel de software autentico para ferramentas de verificação de assinatura. O backdoor permaneceu indetectado por aproximadamente 14 meses - um dos maiores tempos de dwell de uma campanha desta escala. Após instalacao, o SUNBURST aguarda entre 12 e 14 dias (verificação temporal anti-sandbox) antes de ativar. O C2 usa o protocolo DNS para comunicação inicial, com trafego disfarado como o protocolo OIP (Orion Improvement Program) legítimo da SolarWinds. Pos-comprometimento, o SUNBURST deployava o dropper [[s0560-teardrop|TEARDROP]] em memoria para instalar [[s0154-cobalt-strike|Cobalt Strike Beacon]] em alvos de interesse. **Plataformas:** Windows ## Como Funciona O ataque SUNBURST operou em tres fases distintas: **Fase 1 - Comprometimento do Build (SUNSPOT):** O [[g0016-apt29|APT29]] comprometeu o ambiente de desenvolvimento da SolarWinds e injetou SUNSPOT no pipeline de build. O SUNSPOT monitorava processos de compilacao do Orion e substituia um arquivo-fonte específico para incluir o backdoor SUNBURST antes da compilacao, evitando erros que alertariam desenvolvedores. **Fase 2 - Distribuição em Escala:** As atualizacoes contaminadas (versoes Orion 2019.4 HF5 a 2020.2 HF1) foram assinadas com certificados SolarWinds legitimos e distribuidas via canais oficiais de atualização entre marco e junho de 2020 para ~18.000 organizacoes. **Fase 3 - Ativacao Seletiva:** O SUNBURST ficava dormente por 12-14 dias, verificava o dominio de kill switch `avsvmcloud[.]com`, e comúnicava via DNS com DGA para identificar alvos de interesse. Apenas um subconjunto de alvos de alto valor recebia TEARDROP e Cobalt Strike para espionagem ativa. ## Attack Flow ```mermaid graph TB A["🔧 SUNSPOT no Build<br/>Injecao no código-fonte<br/>T1195.002 Supply Chain"] --> B["📦 Atualização assinada<br/>DLL trojanizada distribuida<br/>18.000 organizacoes"] B --> C["⏱ Período dormencia<br/>12-14 dias anti-sandbox<br/>T1497.003 Time Check"] C --> D["📡 C2 via DNS/HTTP<br/>Masquerading OIP protocol<br/>T1573.001 Encrypt C2"] D --> E["🎯 Selecao de alvos<br/>Reconhecimento seletivo<br/>T1082 System Discovery"] E --> F["💉 TEARDROP + Beacon<br/>Cobalt Strike em memoria<br/>Espionagem APT29"] classDef supply fill:#8e44ad,color:#fff classDef deliver fill:#e74c3c,color:#fff classDef evade fill:#e67e22,color:#fff classDef c2 fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef impact fill:#2c3e50,color:#fff class A supply class B deliver class C evade class D c2 class E recon class F impact ``` ## Timeline ```mermaid timeline title SUNBURST - Linha do Tempo 2019-08 : Infraestrutura C2 construida 2019-10 : Primeiro código modificado no Orion 2020-02 : SUNBURST injetado no build 2020-03 : Atualizacoes contaminadas distribuidas 2020-03/06 : 18k organizacoes infectadas 2020-12 : FireEye descobre o ataque 2020-12-13 : Divulgacao publica global 2020-12-15 : Kill switch ativado coordenado 2021-01 : FSB/SVR atribuicao confirmada 2022-05 : UNC2452 fundido com APT29 ``` ## Técnicas Utilizadas - [[t1195-002-compromise-software-supply-chain|T1195.002 - Compromise Software Supply Chain]] - [[t1553-002-code-signing|T1553.002 - Subvert Trust Controls: Code Signing]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] ## Grupos que Usam - [[g0016-apt29|APT29]] (NOBELIUM / Cozy Bear / SVR russo) ## Detecção > [!warning] Detecção Extremamente Difícil > O SUNBURST foi projetado específicamente para se confundir com trafego legitimo do SolarWinds Orion. A detecção requer abordagem comportamental, nao baseada em assinaturas. **Indicadores comportamentais:** - Trafego DNS anomalo originado de processos SolarWinds (`SolarWinds.BusinessLayerHost.exe`) para subdominios de `avsvmcloud[.]com` - indicador de comprometimento definitivo - Requisicoes HTTP com header `If-None-Match` e Content-Type `application/json` em PUT/POST de servidores SolarWinds - Modificacoes rapidas em sequencia em Scheduled Tasks (padrao delete-create-execute-delete-create) - Processos SolarWinds criando copias de binarios legitimos em diretorios temporarios **Ferramentas de detecção:** - SolarWinds públicou hashes de versoes comprometidas; verificar `SolarWinds.Orion.Core.BusinessLayer.dll` contra hashes conhecidos - YARA/Sigma: regras disponiveis no repositorio `fireeye/sunburst_countermeasures` no GitHub - Microsoft Sentinel: workbook dedicado "SolarWinds Post Compromise Hunting" disponível no Azure portal ## Relevância LATAM/Brasil O SUNBURST afetou organizacoes globais indiscriminadamente via atualização de software - qualquer usuario do SolarWinds Orion nas versoes comprometidas foi infectado. No Brasil, múltiplas organizacoes de grande porte nos setores de tecnologia, telecomúnicacoes e governo federal utilizavam o SolarWinds Orion para monitoramento de infraestrutura. Embora o [[g0016-apt29|APT29]] tenha selecionado alvos estratégicos principalmente nos EUA e Europa para ativacao do backdoor, a campanha demonstrou um risco sistemico critico: a dependência de software de gerenciamento de TI de terceiros como vetor de comprometimento em escala. O caso SUNBURST tornou-se referência obrigatoria para programas de gestao de risco de cadeia de suprimentos de software no Brasil, acelerando avaliacoes de fornecedores criticos no setor financeiro e de infraestrutura critica nacional. ## Referências - [MITRE ATT&CK - S0559](https://attack.mitre.org/software/S0559) - [FireEye - SUNBURST Backdoor (Mandiant)](https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor) - [CrowdStrike - SUNSPOT Technical Analysis](https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/) - [MITRE ATT&CK - SolarWinds Compromise Campaign C0024](https://attack.mitre.org/campaigns/C0024/) - [CISA - Alert AA20-352A SolarWinds](https://www.cisa.gov/news-events/alerts/2020/12/17/aa20-352a-advanced-persistent-threat-compromise-government-agencies)