Το Tomiris backdoor πιθανόν υποδεικνύει νέα δραστηριότητα του παράγοντα απειλής, πίσω από την επίθεση Sunburst

Ενώ διερευνούσαν μια ακόμη απειλή τύπου APT, οι ερευνητές της Kaspersky βρέθηκαν μπροστά σε ένα νέο κακόβουλο λογισμικό που περιείχε αρκετά σημαντικά στοιχεία που θα μπορούσαν να το συνδέσουν δυνητικά με τον DarkHalo – τον παράγοντα απειλής πίσω από την επίθεση Sunburst. Το συγκεκριμένο περιστατικό θεωρείται ως ένα από τα πιο επιζήμια περιστατικά ασφάλειας στην εφοδιαστική αλυσίδα τα τελευταία χρόνια.

Η επίθεση Sunburst κυριάρχησε στην επικαιρότητα τον Δεκέμβριο του 2020: ο παράγοντας απειλής DarkHalo παραβίασε έναν ευρέως χρησιμοποιούμενο πάροχο λογισμικού επιχειρήσεων και για μεγάλο χρονικό διάστημα χρησιμοποίησε την υποδομή του για τη διανομή λογισμικού υποκλοπής spyware υπό το πρόσχημα νόμιμων ενημερώσεων λογισμικού. Μετά τον σάλο που προκλήθηκε από τα μέσα ενημέρωσης και την εκτεταμένη κινητοποίηση της κοινότητας κυβερνοασφάλειας, ο συγκεκριμένος παράγοντας απειλής φάνηκε πως κατάφερε να διαφύγει του ελέγχου. Μετά το Sunburst, δεν υπήρξαν σημαντικές αναφορές περιστατικών που να αποδίδονται σε αυτόν τον παράγοντα – φάνηκε ότι το DarkHalo APT βγήκε εκτός σύνδεσης. Ωστόσο, τα αποτελέσματα πρόσφατης έρευνας που πραγματοποιήθηκε από την Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kasperskyδείχνουν ότι αυτό ενδέχεται να μην ισχύει.

Τον Ιούνιο του 2021, περισσότερο από έξι μήνες απουσίας του DarkHalo, οι ερευνητές της Kaspersky βρήκαν ίχνη μιας επιτυχημένης επίθεσης DNS κατά πολλών κυβερνητικών οργανισμών της ίδιας χώρας. Η παραβίαση DNS είναι ένας τύπος κακόβουλης επίθεσης κατά την οποία ένα domain name (που χρησιμοποιείται για τη σύνδεση της διεύθυνσης URL ενός ιστότοπου με τη διεύθυνση IP του server στον οποίο φιλοξενείται ο ιστότοπος) τροποποιείται με τρόπο που ανακατευθύνει την κυκλοφορία του δικτύου προς έναν ελεγχόμενο από τους επιτιθέμενους server. Στην περίπτωση που ανακάλυψε η Kaspersky, οι στόχοι της επίθεσης επιχείρησαν να αποκτήσουν πρόσβαση στο web interface μιας εταιρικής υπηρεσίας ηλεκτρονικού ταχυδρομείου, αλλά ανακατευθύνθηκαν σε ένα πλαστό αντίγραφο του συγκεκριμένου web interface και στη συνέχεια εξαπατήθηκαν προχωρώντας στη λήψη μιας κακόβουλης ενημέρωσης λογισμικού. Ακολουθώντας την πορεία των επιτιθέμενων, οι ερευνητές της Kaspersky ανέκτησαν την πορεία της “ενημέρωσης” και ανακάλυψαν ότι η συγκεκριμένη ενημέρωση αξιοποίησε ένα προηγουμένως άγνωστο backdoor: το Tomiris.

Περαιτέρω ανάλυση έδειξε ότι ο κύριος σκοπός του backdoor ήταν η δημιουργία μιας βάσης στο σύστημα που δέχεται επίθεση, ούτως ώστε να γίνει λήψη και άλλων κακόβουλων στοιχείων. Τα τελευταία, δυστυχώς, δεν εντοπίστηκαν κατά τη διάρκεια της έρευνας. Ωστόσο, έγινε μια άλλη σημαντική παρατήρηση: το Tomiris backdoor αποδείχθηκε ύποπτα παρόμοιο με το Sunshuttle – κακόβουλο λογισμικό που αναπτύχθηκε ως συνέπεια της περιβόητης επίθεσης Sunburst. 

Ο κατάλογος των ομοιοτήτων αποτελείται από τα ακόλουθες, αλλά δεν περιορίζεται σε αυτές:

  • Ακριβώς όπως το Sunshuttle, το Tomiris αναπτύχθηκε στη γλώσσα προγραμματισμού Go.
  • Κάθε backdoor χρησιμοποιεί ένα μόνο σχήμα κρυπτογράφησης/συσκότισης για την κωδικοποίηση τόσο των διαμορφώσεων όσο και της κίνησης δικτύου.
  • Και τα δύο βασίζονται σε προγραμματισμένες εργασίες persistence, ενώ αξιοποιούν την τυχαιότητα και τα sleep delays για να αποκρύψουν τις δραστηριότητές τους.
  • Η γενική ροή εργασιών των δύο προγραμμάτων, ιδίως ο τρόπος με τον οποίο τα χαρακτηριστικά κατανέμονται σε λειτουργίες, μοιάζουν σε τέτοιο βαθμό που οι αναλυτές της Kaspersky προτείνουν ότι θα μπορούσαν να είναι ενδεικτικά κοινών πρακτικών ανάπτυξης.
  • Βρέθηκαν λάθη στα αγγλικά τόσο στη συμβολοσειρά του Tomiris(‘isRunned‘) όσο και του Sunshuttle (“EXECED” αντί “executed”), γεγονός που υποδεικνύει ότι και τα δύο κακόβουλα προγράμματα δημιουργούνται από άτομα που δεν μιλούν Αγγλικά ως μητρική γλώσσα – είναι ευρέως γνωστό ότι το DarkHalo προέρχεται από ρωσόφωνους δημιουργούς.
  • Τέλος, το Tomiris backdoor ανακαλύφθηκε σε δίκτυα όπου άλλα μηχανήματα ήταν μολυσμένα με το Kazuar – το backdoor που είναι γνωστό για τις ομοιότητες κώδικα με το Sunburst backdoor.

«Κανένα από αυτά τα στοιχεία μεμονωμένο δεν είναι αρκετό για να συνδέσει αναντίρρητα το Tomiris με το Sunshuttle. Είναι αλήθεια πως ορισμένα από αυτά τα κοινά σημεία δεδομένων θα μπορούσαν να είναι τυχαία, αλλά εξακολουθούμε να πιστεύουμε ότι συνολικά υποδηλώνουν την πιθανότητα κοινής συγγραφής ή κοινών πρακτικών ανάπτυξης», όπως αναφέρει ο Pierre Delcher, ερευνητής ασφαλείας στην Kaspersky.

«Εάν επαληθευτεί η υπόθεση πως το Tomiris και το Sunshuttle συνδέονται μεταξύ τους, τότε θα ήμασταν σε θέση να διαπιστώσουμε τον τρόπο που οι παράγοντες απειλής αναδημιουργούν τις ικανότητές τους μετά τον εντοπισμό τους. Θα θέλαμε να ενθαρρύνουμε την κοινότητα κυβερνοασφάλειας να αναπαράξει αυτήν την έρευνα και να καταθέσει δεύτερες σκέψεις σχετικά με τις ομοιότητες που ανακαλύψαμε μεταξύ του Sunshuttle και του Tomiris», προσθέτει ο Ivan Kwiatkowski, ερευνητής ασφαλείας στην Kaspersky.

Διαβάστε περισσότερα για τη σύνδεση μεταξύ του Tomiris και της επίθεσης Sunburst στο Securelist.com.

Leave a Reply

Your email address will not be published. Required fields are marked *

*