Trojan Tomiris może wskazywać na wznowioną aktywność cybergangu stojącego za atakiem Sunburst
Analizując nieznane dotąd zaawansowane cyberzagrożenie, badacze z firmy Kaspersky trafili na nowe szkodliwe oprogramowanie posiadające kilka istotnych atrybutów łączących je z DarkHalo – cybergangiem stojącym za atakiem Sunburst. Atak ten należy do najbardziej znaczących incydentów naruszenia bezpieczeństwa łańcucha dostaw ostatnich lat.
O wspomnianym incydencie zrobiło się głośno w grudniu 2020 r.: cyberugrupowanie DarkHalo złamało zabezpieczenia dostawcy oprogramowania dla przedsiębiorstw i przez długi czas wykorzystywało jego infrastrukturę do rozprzestrzeniania narzędzia szpiegowskiego pod przykrywką legalnych aktualizacji aplikacji. Wydaje się, że szum medialny wokół ataku oraz zainteresowanie, jakie wzbudził w społeczności związanej z bezpieczeństwem, sprawiły, że wspomniany gang zniknął ze sceny. Jednak z badania przeprowadzonego niedawno przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky wynika, że niekoniecznie tak było.
W czerwcu 2021 r., ponad sześć miesięcy po zniknięciu DarkHalo, badacze z firmy Kaspersky znaleźli ślady udanego ataku przejęcia DNS uderzającego w kilka organizacji rządowych w tym samym państwie. Przejęcie DNS to rodzaj ataku polegający na zmodyfikowaniu nazwy domeny (służącej do tłumaczenia adresu URL strony internetowej na adres IP serwera, na którym dany zasób jest przechowywany) w taki sposób, aby ruch sieciowy był przekierowywany do serwera kontrolowanego przez cyberprzestępców. W przykładzie zidentyfikowanym przez firmę Kaspersky cele ataku próbowały uzyskać dostęp do interfejsu WWW firmowego serwisu e-mail, jednak były przekierowywane do fałszywej kopii tego zasobu, a następnie podstępnie nakłaniane do pobrania zainfekowanej aktualizacji oprogramowania. Podążając tropem atakujących, badacze z firmy Kaspersky zdobyli tę “aktualizację” i odkryli, że instalowała ona nieznanego wcześniej trojana o nazwie Tomiris.
Dalsza analiza wykazała, że głównym celem szkodnika było zagnieżdżenie się w atakowanym systemie oraz pobieranie innych szkodliwych komponentów. Niestety, nie udało się ich zidentyfikować podczas badania. Zauważono natomiast jedną istotną rzecz: Tomiris wykazywał podejrzane podobieństwo do narzędzia Sunshuttle – szkodnika instalowanego w następstwie ataku Sunburst.
Poniższa lista podobieństw nie jest wyczerpująca:
- Podobnie jak Sunshuttle, trojan Tomiris został stworzony w języku programowania Go.
- Każdy z trojanów stosuje jedną metodę szyfrowania/zaciemniania w celu zakodowania zarówno konfiguracji atakowanej maszyny, jak i ruchu sieciowego.
- Oba szkodniki stosują podobne techniki mające na celu długotrwałe utrzymanie się w zainfekowanym systemie.
- Podobieństwa w kodzie wskazują na zastosowanie tych samych technik programistycznych.
- Występowanie błędów językowych w kodzie trojanów może wskazywać na to, że oba szkodliwe programy zostały napisane przez osoby, dla których angielski nie jest językiem ojczystym – powszechnie uznaje się, że cybergang DarkHalo jest rosyjskojęzyczny.
- Trojan Tomiris został wykryty w sieciach, w których inne maszyny były zainfekowane szkodnikiem Kazuar, o którym wiadomo, że jego kod pokrywa się częściowo z kodem trojana Sunshuttle.
Żadne z powyższych podobieństw, rozpatrywane indywidualnie, nie daje wystarczającej podstawy, by z wystarczającym stopniem pewności powiązać trojana Tomiris ze szkodnikiem Sunshuttle. Przyznajemy, że wiele z tych podobieństw może być przypadkowych, jednak mimo to uważamy, że wszystkie razem mogą sugerować, że szkodniki te zostały stworzone przez te same osoby – powiedział Pierre Delcher, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Jeśli nasze przypuszczenie o istnieniu powiązania między trojanami Tomiris oraz Sunshuttle jest słuszne, rzuca ono nieco światła na sposób, w jaki cyberprzestępcy odbudowują swoje zasoby po tym, jak zostaną “złapani”. Zachęcamy społeczność związaną z analizowaniem zagrożeń do odtworzenia naszego badania oraz przedstawienia dodatkowych opinii dotyczących wykrytych przez nas podobieństw między tymi trojanami – dodał Iwan Kwiatkowski, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegóły techniczne związane ze związkami pomiędzy trojanem Tomiris a atakiem Sunburst znajdują się na stronie https://r.kaspersky.pl/ZB7c9.