Pokračování útoku Sunburst? Stejná skupina patrně stojí i za novým backdoorem Tomiris
30.09.2021
Pokračování útoku Sunburst? Stejná skupina patrně stojí i za novým backdoorem Tomiris

Na nový malware, který obsahuje několik důležitých atributů poukazujících na spojitost se skupinou DarHalo, jež stála za útokem Sunburst, narazili při zkoumání dosud neznámé pokročilé perzistentní hrozby (APT) analytici společnosti Kaspersky. Sunburst je považován za jeden z nejvážnějších bezpečnostních incidentů v dodavatelském řetězci za několik posledních let.

Útok Sunburst se dostal na titulní stránky novin v prosinci 2020. Aktér hrozeb DarkHalo infiltroval dodavatele široce používaného firemního softwaru a dlouhou dobu využíval jeho infrastrukturu k distribuci spywaru pod rouškou legitimních aktualizací softwaru. Po mediálním humbuku a rozsáhlém pátrání bezpečnostní komunity se zdálo, že se aktér stáhl do ústraní. Po Sunburstu nedošlo k žádnému významnějšímu odhalení incidentů, které by mu byly připisovány – vypadalo to, že DarkHalo zmizel nadobro v hlubinách internetu. Výsledky nedávného výzkumu provedeného globálním výzkumným a analytickým týmem společnosti Kaspersky však ukazují, že to tak být nemusí.

Návrat na scénu ve velkém stylu?

V červnu 2021, tedy více než šest měsíců poté, co DarkHalo odešel ze scény, našli výzkumníci společnosti Kaspersky stopy po úspěšném útoku typu DNS hijacking proti několika vládním organizacím ve stejné zemi. DNS hijacking je typ škodlivého útoku, při kterém je název domény (používaný ke spojení URL adresy webové stránky s adresou IP serveru, na kterém je webová stránka umístěna) upraven tak, aby přesměroval síťový provoz na server ovládaný útočníkem. V případě odhaleném společností Kaspersky se cíle útoku snažily získat přístup k webovému rozhraní firemní e-mailové služby, ale byly přesměrovány na falešnou kopii tohoto webového rozhraní a poté navedeny, aby si stáhly „aktualizaci“ skrývající škodlivý software. Podle odkazu zanechaného útočníkem si výzkumníci společnosti Kaspersky tuto „aktualizaci“ stáhli a zjistili, že obsahuje dosud neznámý backdoor Tomiris.

Další analýza ukázala, že hlavním účelem backdooru bylo vytvořit opěrný bod v napadeném systému a stáhnout další škodlivé komponenty. Ty se bohužel během vyšetřování nepodařilo identifikovat, nicméně bylo učiněno ještě jedno důležité zjištění – ukázalo se, že backdoor Tomiris se podezřele podobá malwaru Sunshuttle, nasazenému při zákeřném útoku Sunburst.

Oba útoky se podobají mimo jiné v těchto bodech:

  • Tomiris byl stejně jako Sunshuttle vyvinut v programovacím jazyku Go,
  • oba backdoory používají specifické šifrovací/obfuskační schéma k zakódování konfigurací a síťového provozu,
  • oba spoléhají na naplánované úlohy pro zajištění perzistence a skrývají svoje aktivity s využitím náhodných akcí a spánkového režimu,
  • obecný postup fungování obou programů, zejména způsob rozdělení akcí do funkcí, vypadá natolik podobně, že si analytici společnosti Kaspersky myslí, že to může svědčit o společných metodách jejich vývoje,
  • v obou škodlivých programech byly nalezeny chyby v anglických textových řetězcích („isRunned“ v Tomiris, „EXECED“ místo „executed“ v Sunshuttle), což může znamenat, že je vytvořili lidé, jejichž mateřským jazykem není angličtina – všeobecně se má za to, že aktér DarkHalo je rusky mluvící osoba nebo skupina,
  • a konečně, backdoor Tomiris byl objeven v sítích, kde byly jiné počítače infikovány backdoorem Kazuar, který je známý tím, že se jeho kód překrývá s kódem backdooru Sunburst.


„Žádná z těchto podobností sama o sobě nestačí k tomu, aby bylo možné s dostatečnou jistotou spojovat Tomiris se Sunshuttle. Otevřeně připouštíme, že řada společných rysů může být náhodná, ale přesto se domníváme, že dohromady přinejmenším naznačují možnost stejného autora nebo stejných vývojových postupů,“ říká Pierre Delcher, bezpečnostní výzkumník společnosti Kaspersky.

„Pokud je naše domněnka o propojení Tomiris a Sunshuttle správná, vrhlo by to nové světlo na způsob, jakým aktéři hrozeb obnovují svoje kapacity poté, co byli odhaleni. Rádi bychom proto vyzvali komunitu bezpečnostních služeb, aby tento výzkum reprodukovala a přišla s dalšími názory na podobnosti, které jsme mezi Sunshuttle a Tomirisem objevili,“ dodává Ivan Kwiatkowski, bezpečnostní výzkumník společnosti Kaspersky.

Víc informací o spojitosti mezi Tomirisem a útokem Sunburst najdete v příspěvku na blogu Securelist.com​.