Tomiris Backdoor : nouvelle activité possible de l'acteur menaçant derrière l'attaque Sunburst. Alors qu'ils enquêtaient sur une menace de persistance avancée (APT) encore inconnue, les chercheurs de Kaspersky ont identifié un nouveau logiciel malveillant qui présente plusieurs attributs clés pouvant indiquer une connexion à DarkHalo, l'acteur menaçant responsable de l'attaque Sunburst. Il s'agit de l'une des attaques de chaîne d'approvisionnement les plus percutantes de ces dernières années.
L'incident de sécurité Sunburst a fait la une des journaux en décembre 2020 : l'acteur menaçant DarkHalo a compromis un fournisseur de logiciels d'entreprise bien connu et a utilisé son infrastructure pour distribuer des logiciels espions sous le couvert de mises à jour logicielles légitimes. Après cela, l'acteur semblait avoir disparu. Après Sunburst, aucun incident majeur n'a été découvert pouvant être attribué à cet acteur. Cependant, les résultats d'enquêtes récentes menées par l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky montrent que ce n'est pas le cas.
Attaque de détournement de DNS contre des organisations gouvernementales
En juin 2021 - plus de six mois après que DarkHalo soit entré dans la clandestinité - les chercheurs de Kaspersky ont identifié des traces d'une attaque de détournement de DNS réussie contre plusieurs organisations gouvernementales dans le même pays. Le détournement de DNS est une attaque dans laquelle un nom de domaine - utilisé pour associer l'adresse URL d'un site Web à l'adresse IP du serveur qui l'héberge - est modifié de telle sorte que le trafic réseau est redirigé vers un serveur contrôlé par l'attaquant. Dans l'affaire découverte par Kaspersky, les cibles de la cyberattaque ont tenté d'accéder à l'interface Web d'un des services de messagerie de l'entreprise, mais ont été redirigées vers une fausse copie de celui-ci et, par conséquent, ont téléchargé une mise à jour logicielle malveillante. Les chercheurs de Kaspersky ont suivi le chemin des attaquants et ont découvert que cette « mise à jour » contenait la porte dérobée « Tomiris » jusqu'alors inconnue.
La porte dérobée récupère un renforcement supplémentaire des logiciels malveillants
Une analyse plus approfondie a révélé que l'objectif principal de la porte dérobée était de prendre pied dans le système compromis et de télécharger davantage de composants malveillants, mais ceux-ci n'ont pas pu être identifiés au cours de l'enquête. Cependant, la porte dérobée Tomiris ressemble beaucoup à Sunshuttle - le logiciel malveillant utilisé dans l'attaque Sunburst :
- Tout comme Sunshuttle, Tomiris a été développé dans le langage de programmation Go.
- Les deux portes dérobées utilisent un schéma de cryptage/obscurcissement unique pour coder à la fois les configurations et le trafic réseau.
- Les deux s'appuient sur des tâches planifiées pour masquer leurs activités et utilisent le caractère aléatoire et les retards de sommeil.
- Le flux de travail des deux programmes, en particulier la façon dont les fonctionnalités sont divisées en fonctions, est si similaire que les analystes de Kaspersky soupçonnent que cela pourrait indiquer des pratiques de développement communes.
- Des bogues en anglais ont été trouvés dans Tomiris ("isRunned") et Sunshuttle ("EXECED" au lieu de "executed"). Cela indique que les deux programmes malveillants ont été créés par des personnes dont la langue maternelle n'est pas l'anglais. Il est bien connu que l'acteur de DarkHalo parle russe.
- La porte dérobée Tomiris a été découverte dans des réseaux où d'autres ordinateurs étaient infectés par Kazuar - la même porte dérobée connue pour ses chevauchements de code [2] avec la porte dérobée Sunburst.
"Aucun de ces points n'est, à lui seul, suffisant pour associer Tomiris et Sunshuttle à une sécurité suffisante", commente Pierre Delcher, chercheur en sécurité chez Kaspersky. "Nous reconnaissons que certaines de ces similitudes peuvent être une coïncidence, mais nous croyons toujours que, prises ensemble, elles soulèvent au moins la possibilité d'une paternité commune ou de pratiques de développement communes."
Similitudes frappantes entre les deux portes dérobées
"Si notre hypothèse selon laquelle Tomiris est lié à Sunshuttle est correcte, cela apporterait un nouvel éclairage sur la manière dont les acteurs de la menace recalibrent leurs capacités après avoir été détectés", ajoute Ivan Kwiatkowski, chercheur en sécurité chez Kaspersky. "Nous encourageons la communauté du renseignement sur les menaces à reproduire cette recherche et à partager leurs réflexions sur les similitudes que nous avons découvertes entre Sunshuttle et Tomiris."
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/