Tomiris Backdoor: Sunburst saldırısının arkasındaki tehdit aktörünün olası yeni etkinliği. Kaspersky araştırmacıları, hâlâ bilinmeyen bir Gelişmiş Kalıcılık Tehdidi'ni (APT) araştırırken, potansiyel olarak Sunburst saldırısından sorumlu tehdit aktörü DarkHalo ile bir bağlantıya işaret eden birkaç temel özellik sergileyen yeni bir kötü amaçlı yazılım parçası belirledi. Bu, son yıllardaki en etkili tedarik zinciri saldırılarından biridir.
Sunburst güvenlik olayı Aralık 2020'de manşetlere taşındı: tehdit aktörü DarkHalo, tanınmış bir kurumsal yazılım satıcısının güvenliğini ihlal etti ve yasal yazılım güncellemeleri kisvesi altında casus yazılımları dağıtmak için altyapısını kullandı. Bundan sonra, oyuncu ortadan kaybolmuş gibiydi. Sunburst'tan sonra, bu aktöre atfedilebilecek önemli bir olay keşfedilmedi. Ancak Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT) tarafından yapılan son araştırmaların sonuçları, durumun böyle olmadığını gösteriyor.
Devlet kuruluşlarına yönelik DNS kaçırma saldırısı
Haziran 2021'de - DarkHalo'nun yeraltına inmesinden altı aydan fazla bir süre sonra - Kaspersky araştırmacıları, aynı ülkede birden fazla devlet kuruluşuna karşı başarılı bir DNS ele geçirme saldırısının izlerini tespit etti. DNS ele geçirme, bir web sitesinin URL adresini, onu barındıran sunucunun IP adresiyle ilişkilendirmek için kullanılan bir alan adının, ağ trafiğinin saldırgan tarafından kontrol edilen bir sunucuya yönlendirilecek şekilde değiştirildiği bir saldırıdır. Kaspersky tarafından keşfedilen vakada, siber saldırının hedefleri şirketin e-posta hizmetlerinden birinin web arayüzüne erişmeye çalıştı, ancak bunun sahte bir kopyasına yönlendirildi ve sonuç olarak kötü amaçlı bir yazılım güncellemesi indirdi. Kaspersky araştırmacıları saldırganların yolunu izledi ve bu "güncellemenin" daha önce bilinmeyen "Tomiris" arka kapısını içerdiğini buldu.
Arka kapı daha fazla kötü amaçlı yazılım takviyesi getiriyor
Daha ayrıntılı analizler, arka kapının asıl amacının güvenliği ihlal edilmiş sistemde bir yer edinmek ve daha fazla kötü amaçlı bileşen indirmek olduğunu ortaya çıkardı, ancak bunlar soruşturma sırasında tespit edilemedi. Ancak Tomiris'in arka kapısı, Sunburst saldırısında kullanılan kötü amaçlı yazılım olan Sunshuttle'a çok benziyor:
- Tıpkı Sunshuttle gibi, Tomiris de Go programlama dilinde geliştirildi.
- Her iki arka kapı da, hem yapılandırmaları hem de ağ trafiğini kodlamak için tek bir şifreleme/gizleme şeması kullanır.
- Her ikisi de etkinliklerini gizlemek ve rastgelelik ve uyku gecikmelerini kullanmak için zamanlanmış görevlere güvenir.
- Her iki programın iş akışı, özellikle de özelliklerin işlevlere ayrılma şekli o kadar benzer ki, Kaspersky analistleri bunun ortak geliştirme uygulamalarına işaret edebileceğinden şüpheleniyor.
- Hem Tomiris'te (“isRunned”) hem de Sunshuttle'da (“executed” yerine “EXECED”) İngilizce hatalar bulundu. Bu, her iki kötü niyetli programın anadili İngilizce olmayan kişiler tarafından oluşturulduğunu gösterir. DarkHalo aktörünün Rusça bildiği biliniyor.
- Tomiris arka kapısı, diğer bilgisayarlara Kazuar bulaştığı ağlarda keşfedildi - koduyla bilinen aynı arka kapı, Sunburst arka kapısıyla [2] örtüşüyor.
Kaspersky güvenlik araştırmacısı Pierre Delcher, "Bu noktaların hiçbiri, Tomiris ve Sunshuttle'ı yeterli güvenlikle ilişkilendirmek için tek başına yeterli değil" diyor. "Bu benzerliklerden bazılarının tesadüfi olabileceğini kabul ediyoruz, ancak yine de birlikte ele alındıklarında en azından ortak yazarlık veya ortak geliştirme pratikleri olasılığını artırdığına inanıyoruz."
İki arka kapı arasında çarpıcı benzerlikler
Kaspersky güvenlik araştırmacısı Ivan Kwiatkowski, "Tomiris'in Sunshuttle ile bağlantılı olduğu varsayımımız doğruysa, bu, tehdit aktörlerinin tespit edildikten sonra kapasitelerini yeniden ayarlama yöntemlerine yeni bir ışık tutacaktır" diye ekliyor. "Tehdit istihbaratı topluluğunu bu araştırmayı yeniden oluşturmaya ve Sunshuttle ile Tomiris arasında keşfettiğimiz benzerlikler hakkındaki düşüncelerini paylaşmaya teşvik ediyoruz."
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi