Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Malware Sunshuttle byl nasazen při zákeřném útoku Sunburst, který je považován za jeden z nejvážnějších bezpečnostních incidentů v dodavatelském řetězci za několik posledních let. Šířil se prostřednictvím aktualizací softwaru SolarWinds Orion - ty si stáhlo přes 18 tisíc uživatelů.

Útok Sunburst se dostal na titulní stránky novin v prosinci 2020. Aktér hrozeb DarkHalo infiltroval dodavatele široce používaného firemního softwaru a dlouhou dobu využíval jeho infrastrukturu k distribuci spywaru pod rouškou legitimních aktualizací softwaru.

Po mediálním humbuku a rozsáhlém pátrání bezpečnostní komunity se zdálo, že se aktér stáhl do ústraní. Po Sunburstu nedošlo k žádnému významnějšímu odhalení incidentů, které by mu byly připisovány a vypadalo to, že DarkHalo zmizel nadobro v hlubinách internetu.

Výsledky nedávného výzkumu provedeného globálním výzkumným a analytickým týmem společnosti Kaspersky však ukazují, že to tak být nemusí.

V červnu 2021, tedy více než šest měsíců poté, co DarkHalo odešel ze scény, našli výzkumníci společnosti Kaspersky stopy po úspěšném útoku typu DNS hijacking proti několika vládním organizacím ve stejné zemi.

DNS hijacking je typ škodlivého útoku, při kterém je název domény (používaný ke spojení URL adresy webové stránky s adresou IP serveru, na kterém je webová stránka umístěna) upraven tak, aby přesměroval síťový provoz na server ovládaný útočníkem.

V případě odhaleném společností Kaspersky se cíle útoku snažily získat přístup k webovému rozhraní firemní e-mailové služby, ale byly přesměrovány na falešnou kopii tohoto webového rozhraní a poté navedeny, aby si stáhly aktualizaci skrývající škodlivý software.

Podle odkazu zanechaného útočníkem si výzkumníci společnosti Kaspersky tuto aktualizaci stáhli a zjistili, že obsahuje dosud neznámý backdoor Tomiris.

Další analýza ukázala, že hlavním účelem backdooru bylo vytvořit opěrný bod v napadeném systému a stáhnout další škodlivé komponenty.

Ty se bohužel během vyšetřování nepodařilo identifikovat, nicméně bylo učiněno ještě jedno důležité zjištění - ukázalo se, že backdoor Tomiris se podezřele podobá malwaru Sunshuttle, nasazenému při zákeřném útoku Sunburst.

Podobnosti obou útoků:

V obou škodlivých programech byly nalezeny chyby v anglických textových řetězcích (isRunned v Tomiris, EXECED místo executed v Sunshuttle), což může znamenat, že je vytvořili lidé, jejichž mateřským jazykem není angličtina - všeobecně se má za to, že aktér DarkHalo je rusky mluvící osoba nebo skupina

Obecný postup fungování obou programů, zejména způsob rozdělení akcí do funkcí, vypadá natolik podobně, že si analytici společnosti Kaspersky myslí, že to může svědčit o společných metodách jejich vývoje

Backdoor Tomiris byl objeven v sítích, kde byly jiné počítače infikovány backdoorem Kazuar, který je známý tím, že se jeho kód překrývá s kódem backdooru Sunburst

Oba backdoory spoléhají na naplánované úlohy pro zajištění perzistence a skrývají svoje aktivity s využitím náhodných akcí a spánkového režimu

Oba backdoory používají specifické šifrovací/obfuskační schéma k zakódování konfigurací a síťového provozu

Tomiris byl stejně jako Sunshuttle vyvinut v programovacím jazyce Go

"Žádná z těchto podobností sama o sobě nestačí k tomu, aby bylo možné s dostatečnou jistotou spojovat Tomiris se Sunshuttle. Otevřeně připouštíme, že řada společných rysů může být náhodná, ale přesto se domníváme, že dohromady přinejmenším naznačují možnost stejného autora nebo stejných vývojových postupů. Pokud je naše domněnka o propojení Tomiris a Sunshuttle správná, vrhlo by to nové světlo na způsob, jakým aktéři hrozeb obnovují svoje kapacity poté, co byli odhaleni. Rádi bychom proto vyzvali komunitu bezpečnostních služeb, aby tento výzkum reprodukovala a přišla s dalšími názory na podobnosti, které jsme mezi Sunshuttle a Tomirisem objevili," říká Pierre Delcher, bezpečnostní výzkumník společnosti Kaspersky.