Tomiris Backdoor: можлива нова активність загрози, яка стоїть за атакою Sunburst. Досліджуючи досі невідому Advanced Persistence Threat (APT), дослідники Kaspersky виявили нову частину зловмисного програмного забезпечення, яке демонструє кілька ключових атрибутів, які потенційно вказують на зв’язок із DarkHalo, загрозою, відповідальною за атаку Sunburst. Це одна з найбільш вражаючих атак на ланцюги поставок за останні роки.
Інцидент із системою безпеки Sunburst потрапив у заголовки газет у грудні 2020 року: учасник загрози DarkHalo скомпрометував відомого постачальника корпоративного програмного забезпечення та використав його інфраструктуру для розповсюдження шпигунського програмного забезпечення під виглядом законних оновлень програмного забезпечення. Після цього актор ніби зник. Після «Санберста» не було виявлено жодних серйозних інцидентів, які можна було б віднести до цього актора. Однак результати останніх розслідувань Глобальної дослідницько-аналітичної групи Касперського (GReAT) показують, що це не так.
Атака викрадення DNS проти державних організацій
У червні 2021 року — понад шість місяців після того, як DarkHalo пішов у підпілля — дослідники Касперського виявили сліди успішної атаки викрадення DNS проти кількох державних організацій в одній країні. Викрадення DNS – це атака, під час якої доменне ім’я, яке використовується для пов’язування URL-адреси веб-сайту з IP-адресою сервера, на якому він розміщений, змінюється таким чином, що мережевий трафік перенаправляється на сервер, контрольований зловмисником. У випадку, виявленому Касперським, об’єкти кібератаки намагалися отримати доступ до веб-інтерфейсу одного з поштових сервісів компанії, але були перенаправлені на його підроблену копію і, як наслідок, завантажили оновлення шкідливого програмного забезпечення. Дослідники Kaspersky прослідкували шлях зловмисників і виявили, що це «оновлення» містить раніше невідомий бекдор «Tomiris».
Бекдор отримує подальше посилення зловмисного програмного забезпечення
Подальший аналіз показав, що основною метою бекдору було закріпитися в скомпрометованій системі та завантажити більше шкідливих компонентів, однак під час розслідування їх виявити не вдалося. Проте бекдор Tomiris дуже схожий на Sunshuttle — шкідливе програмне забезпечення, яке використовується в атаці Sunburst:
- Як і Sunshuttle, Tomiris розроблено на мові програмування Go.
- Обидва бекдори використовують одну схему шифрування/заплутування для кодування конфігурацій і мережевого трафіку.
- Обидва покладаються на заплановані завдання, щоб приховати свою діяльність, і використовують випадкові дії та затримки сну.
- Робочий процес обох програм, особливо спосіб розподілу функцій на функції, настільки схожий, що аналітики Kaspersky підозрюють, що це може вказувати на спільну практику розробки.
- Англійські помилки були знайдені в Tomiris («isRunned») і Sunshuttle («EXECED» замість «executed»). Це свідчить про те, що обидві шкідливі програми були створені людьми, рідною мовою яких не є англійська. Відомо, що актор DarkHalo говорить російською.
- Бекдор Tomiris було виявлено в мережах, де інші комп’ютери були заражені Kazuar — той самий бекдор, відомий своїм кодом, збігається [2] з бекдором Sunburst.
«Жоден із цих пунктів сам по собі не є достатнім, щоб пов’язати Tomiris і Sunshuttle із достатньою безпекою», — коментує П’єр Дельшер, дослідник безпеки Kaspersky. «Ми визнаємо, що деякі з цих подібностей можуть бути випадковими, але все ж віримо, що разом вони принаймні підвищують можливість спільного авторства або спільної практики розробки».
Разюча подібність між двома бекдорами
«Якщо наше припущення про те, що Tomiris пов’язано з Sunshuttle, є правильним, це проллє нове світло на те, як зловмисники повторно калібрують свої можливості після виявлення», — додає Іван Квятковський, дослідник безпеки Kaspersky. «Ми заохочуємо спільноту розвідки про загрози відтворити це дослідження та поділитися своїми думками щодо схожості, яку ми виявили між Sunshuttle і Tomiris».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/