Našli sa nové zadné dvierka Tomiris spojené s hackermi stojacimi za kybernetickým útokom SolarWinds

Výskumníci v oblasti kybernetickej bezpečnosti v stredu odhalili predtým nezdokumentované zadné vrátka, ktoré pravdepodobne navrhla a vyvinula pokročilá perzistentná hrozba Nobelium (APT), ktorá stála za minuloročným útokom na dodávateľský reťazec SolarWinds, čím sa pripojila k neustále sa rozširujúcemu arzenálu hackerských nástrojov.

Firma Kaspersky so sídlom v Moskve má kódové označenie malvéru.Tomiris“, pričom poukazuje na jeho podobnosť s ďalším malvérom druhej fázy použitým počas kampane, SUNSHUTTLE (aka GoldMax), ktorý sa zameriava na platformu Orion poskytovateľa softvéru na správu IT. Nobelium je tiež známe pod prezývkami UNC2452, SolarStorm, StellarParticle, Dark Halo a Iron. Rituál.

„Zatiaľ čo útoky na dodávateľský reťazec už boli zdokumentovaným vektorom útoku využívaným množstvom aktérov APT, táto špecifická kampaň vynikla vďaka extrémnej opatrnosti útočníkov a vysoko postavenej povahe ich obetí,“ uviedli výskumníci Kaspersky. “Doteraz zhromaždené dôkazy naznačujú, že Dark Halo strávil šesť mesiacov v sieťach Orion IT, aby zdokonalil svoj útok a uistil sa, že ich manipulácia s reťazcom zostavovania nespôsobí žiadne nepriaznivé účinky.”

Spoločnosť Microsoft, ktorá podrobne opísala SUNSHUTTLE v marci 2021, opísala kmeň ako malvér založený na Golang, ktorý funguje ako zadné vrátka príkazov a ovládania, ktoré vytvárajú bezpečné spojenie so serverom ovládaným útočníkom na načítanie a vykonávanie ľubovoľných príkazov na napadnutom počítači ako ako aj exfiltrovať súbory zo systému na server.

Nové zadné vrátka Tomiris, ktoré našla spoločnosť Kaspersky v júni tohto roku zo vzoriek z februára, je tiež napísané v Go a nasadené prostredníctvom úspešného útoku DNS hijacking, počas ktorého boli ciele pokúšajúce sa o prístup k prihlasovacej stránke podnikovej e-mailovej služby presmerované na podvodná doména nastavená s podobným rozhraním, ktoré má oklamať návštevníkov, aby si stiahli malvér pod zámienkou bezpečnostnej aktualizácie.

Predpokladá sa, že útoky boli spáchané proti niekoľkým vládnym organizáciám v nemenovanom členskom štáte SNŠ.

„Hlavným účelom zadných vrátok bolo vytvoriť oporu v napadnutom systéme a stiahnuť ďalšie škodlivé komponenty,“ uviedli vedci, okrem toho, že našli množstvo podobností od šifrovacej schémy až po rovnaké pravopisné chyby, ktoré spoločne naznačujú „možnosť spoločného autorstva alebo zdieľaných rozvojových postupov“.

Nie je to prvýkrát, čo boli objavené prekrývania medzi rôznymi nástrojmi, ktoré používa aktér hrozby. Začiatkom tohto roka odhalila analýza Sunburst od Kaspersky množstvo spoločných funkcií medzi malvérom a Kazuarom, zadným vrátkom založeným na .NET, ktorý sa pripisuje skupine Turla. Zaujímavé je, že spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že zistila Tomiris v sieťach, kde boli iné stroje infikované Kazuarom, čím pridali váhu vyhliadkam, že tieto tri rodiny malvéru by mohli byť navzájom prepojené.

Vedci však poukázali na to, že by mohlo ísť aj o prípad útoku pod falošnou vlajkou, pri ktorom aktéri hrozieb zámerne reprodukujú taktiky a techniky, ktoré prijal známy protivník v snahe zavádzať prisudzovanie.

Odhalenie prichádza niekoľko dní po tom, čo spoločnosť Microsoft zabalila pasívny a vysoko cielený implantát s názvom FoggyWeb, ktorý skupina Nobelium použila na poskytovanie dodatočných užitočných dát a ukradnutie citlivých informácií zo serverov Active Directory Federation Services (AD FS).