Kaspersky publikuje wstępną analizę szkodliwego oprogramowania Sunburst i udostępnia dekoder
Kilka dni temu pojawiły się informacje o nowo wykrytym ataku na łańcuch dostawy. Niezidentyfikowani cyberprzestępcy, określani jako UNC2452 lub DarkHalo, umieścili w oprogramowaniu SolarWinds Orion backdoora, który został pobrany przez ponad 18 000 klientów tego rozwiązania. Badacze z firmy Kaspersky przeprowadzili analizę tego backdoora, która ujawniła interesujące i dość unikatowe funkcje.
Zdaniem ekspertów atak na łańcuch dostawy został zaprojektowany bardzo profesjonalnie, a wyraźnym celem cyberprzestępców było pozostanie w ukryciu przez jak najdłuższy czas. Na przykład przed pierwszym użyciem internetu do nawiązania połączenia z serwerem cyberprzestępczym szkodliwy program Sunburst pozostaje w uśpieniu przez długi czas, nawet przez dwa tygodnie, co uniemożliwia łatwe wykrycie jego zachowania przy użyciu piaskownicy. Tłumaczy to, dlaczego atak był tak trudny do zauważenia.
We wczesnych fazach ataku Sunburst komunikuje się z serwerem cyberprzestępczym poprzez wysyłanie zaszyfrowanych żądań DNS. Zawierają one informacje o zainfekowanym komputerze, by atakujący wiedzieli, czy warto dalej prowadzić operację.
Wykorzystując fakt, że żądania DNS generowane przez szkodliwy program Sunburst zawierają pewne informacje o potencjalnych ofiarach, oraz używając publicznie dostępnych skryptów do dekodowania takich żądań, badacze z firmy Kaspersky przygotowali własne narzędzia do dalszej analizy ponad 1 700 wpisów DNS związanych z omawianym incydentem. W ten sposób określono ponad 1 000 unikatowych nazw celów ataków i ponad 900 unikatowych identyfikatorów użytkowników. Liczby te mogą wydawać się całkiem duże, jednak wszystko wskazuje na to, że atakujący byli zainteresowani wyłącznie celami, które uważali za wartościowe.
W trakcie analizy trzy spośród żądań uznanych przez atakujących za wartościowe zostały zdekodowane przez badaczy do dwóch nazw domen należących do organizacji rządowej oraz firmy telekomunikacyjnej w Stanach Zjednoczonych. Ze względów etycznych badacze z firmy Kaspersky nie wymieniają tych nazw domen. Firma Kaspersky poinformowała już obydwie organizacje i zaoferowała pomoc w zidentyfikowaniu dalszej szkodliwej aktywności.
Ostatnie dni spędziliśmy na analizie naszych danych telemetrycznych w poszukiwaniu oznak tego ataku, projektowaniu dodatkowych mechanizmów wykrywania i upewnieniu się, że nasi klienci są należycie chronieni. Na chwilę obecną zidentyfikowaliśmy około stu klientów, którzy pobrali pakiet zawierający backdoora Sunburst. Prace dochodzeniowe trwają i będziemy informowali o naszych dalszych odkryciach – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Aby pomóc społeczności w identyfikowaniu kolejnych celów atakujących, badacze z firmy Kaspersky opublikowali kod źródłowy własnego dekodera: https://github.com/2igosha/sunburst_dga.
Produkty firmy Kaspersky wykorzystują narzędzia wspomniane przez firmę FireEye w repozytorium serwisu GitHub. Kaspersky uaktualnił logikę wykrywania w swoich produktach w oparciu o udostępnione reguły Yara, wskaźniki włamania, sygnatury i inne dane dotyczące omawianych ataków.
Wyniki wstępnej analizy przeprowadzonej przez badaczy z firmy Kaspersky są dostępne na stronie https://r.kaspersky.pl/caXhc.
Dalsze szczegóły dotyczące szkodliwego oprogramowania Sunburst oraz UNC2452/DarkHalo są dostępne dla klientów usługi Kaspersky Intelligence Reporting (intelreports@kaspersky.com).