La backdoor Tomiris fa pensare ad una nuova attività del threat actor legato a Sunburst
Il sito "il Centro Tirreno.it" utilizza cookie tecnici o assimiliati e cookie di profilazione di terze parti in forma aggregata a scopi pubblicitari e per rendere più agevole la navigazione, garantire la fruizione dei servizi, se vuoi saperne di più leggi l'informativa estesa, se decidi di continuare la navigazione consideriamo che accetti il loro uso.
19
Gio, Mag

La backdoor Tomiris fa pensare ad una nuova attività del threat actor legato a Sunburst

Immediapress
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

 

Milano, 29 settembre 2021 - Nel corso delle indagini su una minaccia persistente avanzata (APT) ancora sconosciuta, i ricercatori di Kaspersky si sono imbattuti in un nuovo malware contenente diverse caratteristiche che ricordano DarkHalo, il threat actor che si nasconde dietro l'attacco Sunburst. Quest’ultimo è

considerato uno dei peggiori incidenti di sicurezza alla supply chain degli ultimi anni.  

L'incidente di sicurezza di Sunburst ha fatto notizia nel dicembre 2020, quando il threat actor DarkHalo ha compromesso un fornitore di software aziendale ampiamente utilizzato e per molto tempo si è servito della sua infrastruttura per diffondere spyware mascherati da aggiornamenti software. Dopo molto clamore mediatico e un'estesa caccia da parte della community di sicurezza informatica, il gruppo criminale sembrava essere scomparso dai radar. Dopo Sunburst, non ci sono state altre scoperte rilevanti di incidenti attribuibili a questo gruppo: l'APT di DarkHalo sembrava fosse andato offline. Tuttavia, i risultati di una recente ricerca condotta dal Kaspersky Global Research and Analysis Team mostrano che potrebbe non essere così. 

Nel giugno 2021, più di sei mesi dopo aver perso le tracce di DarkHalo, i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito, rivolto a diverse organizzazioni governative nello stesso paese. Il DNS hijacking è un tipo di attacco malevolo in cui il nome del dominio (utilizzato per collegare l'indirizzo URL di un sito web con l'indirizzo IP del server su cui il sito è ospitato) viene modificato in modo da reindirizzare il traffico di rete verso un server controllato dall’attaccante. Nel caso scoperto da Kaspersky, le vittime dell’attacco cercavano di accedere all'interfaccia web di un servizio di posta elettronica aziendale, ma sono state reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta: Tomiris. 

Ulteriori analisi hanno mostrato che lo scopo principale della backdoor era quello di stabilire un punto d'appoggio nel sistema attaccato e di scaricare altri componenti dannosi. Questi ultimi, purtroppo, non sono stati identificati durante le indagini; tuttavia, è stata fatta un'altra importante osservazione: la backdoor Tomiris ha destato sospetti in quanto si è rivelata simile a Sunshuttle, un malware diffuso come conseguenza del famigerato attacco Sunburst. 

L'elenco delle somiglianze è costituito (e non limitato) da quanto segue: 

• Come Sunshuttle, anche Tomiris è stato sviluppato utilizzando il linguaggio di programmazione Go 

• Ogni backdoor utilizza un unico schema di crittografia/offuscamento per codificare sia le configurazioni che il traffico di rete 

• Entrambi si basano su task pianificate per la persistenza, e utilizzano tecniche di randomness e sleep delay per nascondere le loro attività 

• Il flusso generale di lavoro dei due programmi, e in particolare il modo in cui le caratteristiche sono distribuite in funzioni, sono talmente simili da far pensare agli analisti di Kaspersky che si tratti di pratiche di sviluppo condivise. 

• Sono stati rilevati errori di inglese sia nelle stringhe di Tomiris ("isRunned") che in Sunshuttle ("EXECED" invece di "executed"). Questo indica che entrambi i programmi sono stati sviluppati da criminali la cui lingua madre non è l’inglese. Inoltre è noto che il threat actor DarkHalo è di lingua russa. 

• Infine, la backdoor Tomiris è stata scoperta in reti in cui altre macchine sono state infettate con Kazuar, la backdoor nota per le sue sovrapposizioni di codice con la backdoor Sunburst.  

“Nessuno di questi elementi presi singolarmente è sufficiente per collegare con certezza Tomiris e Sunshuttle. Ammettiamo che alcuni di questi collegamenti potrebbero essere accidentali, ma riteniamo comunque che considerati nell’insieme suggeriscano almeno la possibilità di una paternità comune o di pratiche di sviluppo condivise", ha affermato Pierre Delcher, security researcher di Kaspersky. 

“Se la nostra ipotesi che Tomiris e Sunshuttle siano collegati è corretta, questo getterebbe nuova luce sul modo in cui i threat actor ricostruiscono i propri mezzi dopo essere stati scoperti. Vogliamo incoraggiare la community di threat intelligence a riprodurre questa ricerca e fornire ulteriori opinioni sulle somiglianze che abbiamo scoperto tra Sunshuttle e Tomiris", ha aggiunto Ivan Kwiatkowski, security researcher di Kaspersky. 

Per approfondire la connessione tra Tomiris e l'attacco Sunburst, è possibile consultare il post del blog di Securelist.com. 

Informazioni su Kaspersky  

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/  

Seguici su: 

https://twitter.com/KasperskyLabIT  

http://www.facebook.com/kasperskylabitalia  

https://www.linkedin.com/company/kaspersky-lab-italia  

https://www.instagram.com/kasperskylabitalia/  

https://t.me/KasperskyItalia  

Contatto di redazione:  

Noesis  

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.  

Ho scritto e condiviso questo articolo
Author: Red AdnkronosWebsite: http://ilcentrotirreno.it/Email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.