Trojan Tomiris może wskazywać na wznowioną aktywność cybergangu stojącego za atakiem Sunburst


Trojan Tomiris może wskazywać na wznowioną aktywność cybergangu stojącego za atakiem Sunburst
2021-09-30
Analizując nieznane dotąd zaawansowane cyberzagrożenie, badacze z firmy Kaspersky trafili na nowe szkodliwe oprogramowanie posiadające kilka istotnych atrybutów łączących je z DarkHalo – cybergangiem stojącym za atakiem Sunburst.

Atak ten należy do najbardziej znaczących incydentów naruszenia bezpieczeństwa łańcucha dostaw ostatnich lat.

O wspomnianym incydencie zrobiło się głośno w grudniu 2020 r.: cyberugrupowanie DarkHalo złamało zabezpieczenia dostawcy oprogramowania dla przedsiębiorstw i przez długi czas wykorzystywało jego infrastrukturę do rozprzestrzeniania narzędzia szpiegowskiego pod przykrywką legalnych aktualizacji aplikacji. Wydaje się, że szum medialny wokół ataku oraz zainteresowanie, jakie wzbudził w społeczności związanej z bezpieczeństwem, sprawiły, że wspomniany gang zniknął ze sceny. Jednak z badania przeprowadzonego niedawno przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky wynika, że niekoniecznie tak było.

W czerwcu 2021 r., ponad sześć miesięcy po zniknięciu DarkHalo, badacze z firmy Kaspersky znaleźli ślady udanego ataku przejęcia DNS uderzającego w kilka organizacji rządowych w tym samym państwie. Przejęcie DNS to rodzaj ataku polegający na zmodyfikowaniu nazwy domeny (służącej do tłumaczenia adresu URL strony internetowej na adres IP serwera, na którym dany zasób jest przechowywany) w taki sposób, aby ruch sieciowy był przekierowywany do serwera kontrolowanego przez cyberprzestępców. W przykładzie zidentyfikowanym przez firmę Kaspersky cele ataku próbowały uzyskać dostęp do interfejsu WWW firmowego serwisu e-mail, jednak były przekierowywane do fałszywej kopii tego zasobu, a następnie podstępnie nakłaniane do pobrania zainfekowanej aktualizacji oprogramowania. Podążając tropem atakujących, badacze z firmy Kaspersky zdobyli tę „aktualizację” i odkryli, że instalowała ona nieznanego wcześniej trojana o nazwie Tomiris.

Dalsza analiza wykazała, że głównym celem szkodnika było zagnieżdżenie się w atakowanym systemie oraz pobieranie innych szkodliwych komponentów. Niestety, nie udało się ich zidentyfikować podczas badania. Zauważono natomiast jedną istotną rzecz: Tomiris wykazywał podejrzane podobieństwo do narzędzia Sunshuttle – szkodnika instalowanego w następstwie ataku Sunburst.

Poniższa lista podobieństw nie jest wyczerpująca:

·         Podobnie jak Sunshuttle, trojan Tomiris został stworzony w języku programowania Go.

·         Każdy z trojanów stosuje jedną metodę szyfrowania/zaciemniania w celu zakodowania zarówno konfiguracji atakowanej maszyny, jak i ruchu sieciowego.

·         Oba szkodniki stosują podobne techniki mające na celu długotrwałe utrzymanie się w zainfekowanym systemie.

·         Podobieństwa w kodzie wskazują na zastosowanie tych samych technik programistycznych.

·         Występowanie błędów językowych w kodzie trojanów może wskazywać na to, że oba szkodliwe programy zostały napisane przez osoby, dla których angielski nie jest językiem ojczystym – powszechnie uznaje się, że cybergang DarkHalo jest rosyjskojęzyczny.

·         Trojan Tomiris został wykryty w sieciach, w których inne maszyny były zainfekowane szkodnikiem Kazuar, o którym wiadomo, że jego kod pokrywa się częściowo z kodem trojana Sunshuttle.

Żadne z powyższych podobieństw, rozpatrywane indywidualnie, nie daje wystarczającej podstawy, by z wystarczającym stopniem pewności powiązać trojana Tomiris ze szkodnikiem Sunshuttle. Przyznajemy, że wiele z tych podobieństw może być przypadkowych, jednak mimo to uważamy, że wszystkie razem mogą sugerować, że szkodniki te zostały stworzone przez te same osoby – powiedział Pierre Delcher, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

Jeśli nasze przypuszczenie o istnieniu powiązania między trojanami Tomiris oraz Sunshuttle jest słuszne, rzuca ono nieco światła na sposób, w jaki cyberprzestępcy odbudowują swoje zasoby po tym, jak zostaną „złapani”. Zachęcamy społeczność związaną z analizowaniem zagrożeń do odtworzenia naszego badania oraz przedstawienia dodatkowych opinii dotyczących wykrytych przez nas podobieństw między tymi trojanami – dodał Iwan Kwiatkowski, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

Szczegóły techniczne związane ze związkami pomiędzy trojanem Tomiris a atakiem Sunburst znajdują się na stronie https://r.kaspersky.pl/ZB7c9.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła. Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl