Tomiris Backdoor: Possibile nuova attività da parte dell'autore della minaccia dietro l'attacco Sunburst. Durante le indagini su un'Advanced Persistence Threat (APT) ancora sconosciuta, i ricercatori di Kaspersky hanno identificato un nuovo malware che presenta diversi attributi chiave che potenzialmente indicano una connessione con DarkHalo, l'autore della minaccia responsabile dell'attacco Sunburst. Questo è uno degli attacchi alla supply chain più incisivi degli ultimi anni.
L'incidente di sicurezza di Sunburst ha fatto notizia nel dicembre 2020: l'attore di minacce DarkHalo ha compromesso un noto fornitore di software aziendale e ha utilizzato la sua infrastruttura per distribuire spyware con il pretesto di aggiornamenti software legittimi. Dopodiché, l'attore sembrava essere scomparso. Dopo Sunburst, non sono stati scoperti incidenti importanti che potrebbero essere attribuiti a questo attore. Tuttavia, i risultati delle recenti indagini del Global Research and Analysis Team (GReAT) di Kaspersky mostrano che non è così.
Attacco di dirottamento DNS contro organizzazioni governative
Nel giugno 2021, più di sei mesi dopo la scomparsa di DarkHalo, i ricercatori di Kaspersky hanno identificato le tracce di un attacco di dirottamento DNS riuscito contro più organizzazioni governative nello stesso paese. Il dirottamento DNS è un attacco in cui un nome di dominio, utilizzato per associare l'indirizzo URL di un sito Web all'indirizzo IP del server che lo ospita, viene modificato in modo tale che il traffico di rete venga reindirizzato a un server controllato dall'aggressore. Nel caso scoperto da Kaspersky, i bersagli dell'attacco informatico hanno tentato di accedere all'interfaccia web di uno dei servizi di posta elettronica dell'azienda, ma sono stati reindirizzati a una sua copia falsa e, di conseguenza, hanno scaricato un aggiornamento software dannoso. I ricercatori di Kaspersky hanno seguito il percorso degli aggressori e hanno scoperto che questo "aggiornamento" conteneva la backdoor "Tomiris" precedentemente sconosciuta.
Backdoor recupera un ulteriore rinforzo del malware
Ulteriori analisi hanno rivelato che lo scopo principale della backdoor era quello di prendere piede nel sistema compromesso e scaricare altri componenti dannosi, tuttavia, questi non sono stati identificati durante l'indagine. Tuttavia, la backdoor di Tomiris ha una stretta somiglianza con Sunshuttle, il malware utilizzato nell'attacco Sunburst:
- Proprio come Sunshuttle, Tomiris è stato sviluppato nel linguaggio di programmazione Go.
- Entrambe le backdoor utilizzano un unico schema di crittografia/offuscamento per codificare sia le configurazioni che il traffico di rete.
- Entrambi si basano su attività pianificate per nascondere le proprie attività e utilizzano casualità e ritardi del sonno.
- Il flusso di lavoro di entrambi i programmi, in particolare il modo in cui le funzionalità sono suddivise in funzioni, è così simile che gli analisti di Kaspersky sospettano che ciò possa indicare pratiche di sviluppo comuni.
- Bug inglesi sono stati trovati sia in Tomiris ("isRunned") che in Sunshuttle ("EXECED" invece di "executed"). Ciò indica che entrambi i programmi dannosi sono stati creati da persone la cui lingua madre non è l'inglese. È risaputo che l'attore di DarkHalo parla russo.
- La backdoor di Tomiris è stata scoperta in reti in cui altri computer sono stati infettati da Kazuar, la stessa backdoor nota per le sue sovrapposizioni di codice [2] con la backdoor Sunburst.
"Nessuno di questi punti è, da solo, sufficiente per associare Tomiris e Sunshuttle a una sicurezza sufficiente", commenta Pierre Delcher, ricercatore di sicurezza presso Kaspersky. "Riconosciamo che alcune di queste somiglianze possono essere casuali, ma crediamo ancora che, prese insieme, aumentino almeno la possibilità di paternità comune o pratiche di sviluppo comuni".
Sorprendenti somiglianze tra le due backdoor
"Se la nostra ipotesi che Tomiris sia collegata a Sunshuttle fosse corretta, getterebbe nuova luce sul modo in cui gli attori delle minacce ricalibrano le proprie capacità dopo essere stati rilevati", aggiunge Ivan Kwiatkowski, ricercatore di sicurezza presso Kaspersky. "Incoraggiamo la comunità dell'intelligence sulle minacce a riprodurre questa ricerca e condividere i loro pensieri sulle somiglianze che abbiamo scoperto tra Sunshuttle e Tomiris".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/