Forskere har afdækket en ny forbindelse mellem Tomiris og APT bag SolarWinds -bruddet, DarkHalo.
Onsdag på Kaspersky Security Analyst Summit (SAS) sagde forskere, at en ny kampagne afslørede ligheder mellem DarkHalo's Sunshuttle samt “måloverlapninger” med Kazuar.
SolarWinds-hændelsen fandt sted i 2020. FireEye og Microsoft afslørede bruddet, hvor SolarWinds Orion-netværksstyringssoftware blev kompromitteret for at påvirke hele 18.000 kunder i et softwareopdateringsbaseret supply chain-angreb.
Selvom mange tusinde klienter muligvis har modtaget en ondsindet opdatering, så trusselsaktørerne ud til at vælge de mål, der er værdige til yderligere kompromis-herunder Microsoft, FireEye og offentlige instanser.
Microsofts præsident Brad Smith kaldte hændelsen for “det største og mest sofistikerede angreb, verden nogensinde har set.”
Kaspersky
Til sidst blev fingeren peget på den avancerede persistens -trussel (APT) -gruppen DarkHalo/Nobelium som den ansvarlige part, som formåede at implementere Sunburst/Solorigate -bagdøren, Sunspot -build -serverovervågningssoftware og Teardrop/Raindrop -dropper, designet til at implementere en Cobalt Slagfyr, på målsystemer.
Den russiske, statsstøttede gruppes kampagne blev sporet som UNC2452, som også har været knyttet til Sunshuttle/GoldMax-bagdøren.
I juni, efter cirka seks måneders inaktivitet fra DarkHalo, afslørede Kaspersky en DNS -kapringskampagne mod flere regeringsorganer i et ikke navngivet CIS -medlemsland.
“Disse kapringer var for det meste relativt korte og ser ud til primært at have været rettet mod mailservere i de berørte organisationer,” kommenterede Kaspersky. “Vi ved ikke, hvordan trusselsaktøren var i stand til at opnå dette, men vi antager, at de på en eller anden måde har opnået legitimationsoplysninger til kontrolpanelet for registratoren, der blev brugt af ofrene.”
Forskerne siger, at kampagneoperatørerne omdirigerede ofre, der forsøgte at få adgang til en e-mailtjeneste til et falsk domæne, som derefter fik dem til at downloade en ondsindet softwareopdatering, muliggjort ved at skifte legitime DNS-servere til kompromitterede zoner til angriberstyrede opløsere. Denne opdatering indeholdt Tomiris bagdør.
“Yderligere analyse viste, at hovedformålet med bagdøren var at etablere fodfæste i det angrebne system og downloade andre ondsindede komponenter,” tilføjede Kaspersky. “Sidstnævnte blev desværre ikke identificeret under undersøgelsen.”
Tomiris viste sig imidlertid at være en interessant opdagelse. Bagdøren beskrives som “mistænkeligt ligner” Sunshuttle.
Begge bagdøre er skrevet i Golang (Go) programmeringssprog, de samme stavefejl på engelsk var i nyttelastkoden, og hver bruger lignende krypterings- og tilsløringsopsætninger til konfiguration og netværkstrafikstyringsformål.
Derudover bruger både Tomiris og Sunshuttle planlagte opgaver for vedholdenhed samt søvnbaserede forsinkelsesmekanismer. Teamet mener, at den “generelle arbejdsgang for de to programmer” antyder den samme udviklingspraksis.
Bagdøren har dog ringe funktion ud over muligheden for at downloade yderligere malware, hvilket tyder på, at Tomiris sandsynligvis er en del af et større operatørværktøj.
Det skal også bemærkes, at Tomiris er fundet i miljøer, der også er inficeret med Kazuar -bagdøren, malware, som Kaspersky foreløbigt har knyttet til Sunburst – mens Palo Alto også har forbundet Kazuar og Turla APT. Cisco Talos har også for nylig afsløret en ny, enkel bagdør, der nu er implementeret af Turla APT på offersystemer.
Kaspersky erkender også, at dette kan være et tilfælde af et 'falsk flag', der er designet til at vildlede forskere og sende dem ned ad de forkerte analyse- eller tilskrivningsveje. Pierre Delcher, sikkerhedsforsker ved Kaspersky kommenterede:
“Ingen af disse elementer, taget individuelt, er nok til at forbinde Tomiris og Sunshuttle med tilstrækkelig tillid. Vi indrømmer frit, at en række af disse datapunkter kan være utilsigtede, men føler stadig, at de tilsammen i det mindste tyder på muligheden for fælles forfatterskab eller fælles udviklingspraksis. ”
Tidligere og relateret dækning
SolarWinds: Jo mere vi lærer, jo værre ser det ud – SolarWinds hackanalyse afslører 56% boost i kommandoservers fodaftryk
Microsoft: SolarWinds angreb tog mere end 1.000 ingeniører at oprette
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 