Technologie » Internet
Trojan Tomiris może wskazywać na wznowioną aktywność cybergangu stojącego za atakiem Sunburst
Zobacz więcej zdjęć » |
Atak ten należy do najbardziej znaczących incydentów naruszenia bezpieczeństwa łańcucha dostaw ostatnich lat.
O wspomnianym incydencie zrobiło się głośno w grudniu 2020 r.: cyberugrupowanie DarkHalo złamało zabezpieczenia dostawcy oprogramowania dla przedsiębiorstw i przez długi czas wykorzystywało jego infrastrukturę do rozprzestrzeniania narzędzia szpiegowskiego pod przykrywką legalnych aktualizacji aplikacji. Wydaje się, że szum medialny wokół ataku oraz zainteresowanie, jakie wzbudził w społeczności związanej z bezpieczeństwem, sprawiły, że wspomniany gang zniknął ze sceny. Jednak z badania przeprowadzonego niedawno przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky wynika, że niekoniecznie tak było.
Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
W czerwcu 2021 r., ponad sześć miesięcy po zniknięciu DarkHalo, badacze z firmy Kaspersky znaleźli ślady udanego ataku przejęcia DNS uderzającego w kilka organizacji rządowych w tym samym państwie. Przejęcie DNS to rodzaj ataku polegający na zmodyfikowaniu nazwy domeny (służącej do tłumaczenia adresu URL strony internetowej na adres IP serwera, na którym dany zasób jest przechowywany) w taki sposób, aby ruch sieciowy był przekierowywany do serwera kontrolowanego przez cyberprzestępców. W przykładzie zidentyfikowanym przez firmę Kaspersky cele ataku próbowały uzyskać dostęp do interfejsu WWW firmowego serwisu e-mail, jednak były przekierowywane do fałszywej kopii tego zasobu, a następnie podstępnie nakłaniane do pobrania zainfekowanej aktualizacji oprogramowania. Podążając tropem atakujących, badacze z firmy Kaspersky zdobyli tę „aktualizację” i odkryli, że instalowała ona nieznanego wcześniej trojana o nazwie Tomiris.
Dalsza analiza wykazała, że głównym celem szkodnika było zagnieżdżenie się w atakowanym systemie oraz pobieranie innych szkodliwych komponentów. Niestety, nie udało się ich zidentyfikować podczas badania. Zauważono natomiast jedną istotną rzecz: Tomiris wykazywał podejrzane podobieństwo do narzędzia Sunshuttle – szkodnika instalowanego w następstwie ataku Sunburst.
Poniższa lista podobieństw nie jest wyczerpująca:
· Podobnie jak Sunshuttle, trojan Tomiris został stworzony w języku programowania Go.
· Każdy z trojanów stosuje jedną metodę szyfrowania/zaciemniania w celu zakodowania zarówno konfiguracji atakowanej maszyny, jak i ruchu sieciowego.
· Oba szkodniki stosują podobne techniki mające na celu długotrwałe utrzymanie się w zainfekowanym systemie.
· Podobieństwa w kodzie wskazują na zastosowanie tych samych technik programistycznych.
· Występowanie błędów językowych w kodzie trojanów może wskazywać na to, że oba szkodliwe programy zostały napisane przez osoby, dla których angielski nie jest językiem ojczystym – powszechnie uznaje się, że cybergang DarkHalo jest rosyjskojęzyczny.
· Trojan Tomiris został wykryty w sieciach, w których inne maszyny były zainfekowane szkodnikiem Kazuar, o którym wiadomo, że jego kod pokrywa się częściowo z kodem trojana Sunshuttle.
Żadne z powyższych podobieństw, rozpatrywane indywidualnie, nie daje wystarczającej podstawy, by z wystarczającym stopniem pewności powiązać trojana Tomiris ze szkodnikiem Sunshuttle. Przyznajemy, że wiele z tych podobieństw może być przypadkowych, jednak mimo to uważamy, że wszystkie razem mogą sugerować, że szkodniki te zostały stworzone przez te same osoby – powiedział Pierre Delcher, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Jeśli nasze przypuszczenie o istnieniu powiązania między trojanami Tomiris oraz Sunshuttle jest słuszne, rzuca ono nieco światła na sposób, w jaki cyberprzestępcy odbudowują swoje zasoby po tym, jak zostaną „złapani”. Zachęcamy społeczność związaną z analizowaniem zagrożeń do odtworzenia naszego badania oraz przedstawienia dodatkowych opinii dotyczących wykrytych przez nas podobieństw między tymi trojanami – dodał Iwan Kwiatkowski, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegóły techniczne związane ze związkami pomiędzy trojanem Tomiris a atakiem Sunburst znajdują się na stronie https://r.kaspersky.pl/ZB7c9.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła. Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.
Komentarze (0)