Το Tomiris backdoor πιθανόν υποδεικνύει νέα δραστηριότητα του παράγοντα απειλής που βρίσκεται πίσω από την επίθεση Sunburst
Ενώ διερευνούσαν μια ακόμη απειλή τύπου APT, οι ερευνητές της Kaspersky βρέθηκαν μπροστά σε ένα νέο κακόβουλο λογισμικό που περιείχε αρκετά σημαντικά στοιχεία που θα μπορούσαν να το συνδέσουν δυνητικά με τον DarkHalo – τον παράγοντα απειλής πίσω από την επίθεση Sunburst. Το συγκεκριμένο περιστατικό θεωρείται ως ένα από τα πιο επιζήμια περιστατικά ασφάλειας στην εφοδιαστική αλυσίδα τα τελευταία χρόνια.
Η επίθεση Sunburst κυριάρχησε
Τον Ιούνιο του 2021, περισσότερο από έξι μήνες απουσίας του DarkHalo, οι ερευνητές της Kaspersky βρήκαν ίχνη μιας επιτυχημένης επίθεσης DNS κατά πολλών κυβερνητικών οργανισμών της ίδιας χώρας. Η παραβίαση DNS είναι ένας τύπος κακόβουλης επίθεσης κατά την οποία ένα domain name (που χρησιμοποιείται για τη σύνδεση της διεύθυνσης URL ενός ιστότοπου με τη διεύθυνση IP του server στον οποίο φιλοξενείται ο ιστότοπος) τροποποιείται με τρόπο που ανακατευθύνει την κυκλοφορία του δικτύου προς έναν ελεγχόμενο από τους επιτιθέμενους server. Στην περίπτωση που ανακάλυψε η Kaspersky, οι στόχοι της επίθεσης επιχείρησαν να αποκτήσουν πρόσβαση στο web interface μιας εταιρικής υπηρεσίας ηλεκτρονικού ταχυδρομείου, αλλά ανακατευθύνθηκαν σε ένα πλαστό αντίγραφο του συγκεκριμένου web interface και στη συνέχεια εξαπατήθηκαν προχωρώντας στη λήψη μιας κακόβουλης ενημέρωσης λογισμικού. Ακολουθώντας την πορεία των επιτιθέμενων, οι ερευνητές της Kaspersky ανέκτησαν την πορεία της “ενημέρωσης” και ανακάλυψαν ότι η συγκεκριμένη ενημέρωση αξιοποίησε ένα προηγουμένως άγνωστο backdoor: το Tomiris.
Περαιτέρω ανάλυση έδειξε ότι ο κύριος σκοπός του backdoor ήταν η δημιουργία μιας βάσης στο σύστημα που δέχεται επίθεση, ούτως ώστε να γίνει λήψη και άλλων κακόβουλων στοιχείων. Τα τελευταία, δυστυχώς, δεν εντοπίστηκαν κατά τη διάρκεια της έρευνας. Ωστόσο, έγινε μια άλλη σημαντική παρατήρηση: το Tomiris backdoor αποδείχθηκε ύποπτα παρόμοιο με το Sunshuttle – κακόβουλο λογισμικό που αναπτύχθηκε ως συνέπεια της περιβόητης επίθεσης Sunburst.
Ο κατάλογος των ομοιοτήτων αποτελείται από τα ακόλουθες, αλλά δεν περιορίζεται σε αυτές:
Ακριβώς όπως το Sunshuttle, το Tomiris αναπτύχθηκε στη γλώσσα προγραμματισμού Go.Κάθε backdoor χρησιμοποιεί ένα μόνο σχήμα κρυπτογράφησης/συσκότισης για την κωδικοποίηση τόσο των διαμορφώσεων όσο και της κίνησης δικτύου.Και τα δύο βασίζονται σε προγραμματισμένες εργασίες persistence, ενώ αξιοποιούν την τυχαιότητα και τα sleep delays για να αποκρύψουν τις δραστηριότητές τους.Η γενική ροή εργασιών των δύο προγραμμάτων, ιδίως ο τρόπος με τον οποίο τα χαρακτηριστικά κατανέμονται σε λειτουργίες, μοιάζουν σε τέτοιο βαθμό που οι αναλυτές της Kaspersky προτείνουν ότι θα μπορούσαν να είναι ενδεικτικά κοινών πρακτικών ανάπτυξης.Βρέθηκαν λάθη στα αγγλικά τόσο στη συμβολοσειρά του Tomiris (‘isRunned’) όσο και του Sunshuttle (“EXECED” αντί “executed”), γεγονός που υποδεικνύει ότι και τα δύο κακόβουλα προγράμματα δημιουργούνται από άτομα που δεν μιλούν Αγγλικά ως μητρική γλώσσα – είναι ευρέως γνωστό ότι το DarkHalo προέρχεται από ρωσόφωνους δημιουργούς. Τέλος, το Tomiris backdoor ανακαλύφθηκε σε δίκτυα όπου άλλα μηχανήματα ήταν μολυσμένα με το Kazuar – το backdoor που είναι γνωστό για τις ομοιότητες κώδικα με το Sunburst backdoor.«Κανένα από αυτά τα στοιχεία μεμονωμένο δεν είναι αρκετό για να συνδέσει αναντίρρητα το Tomiris με το Sunshuttle. Είναι αλήθεια πως ορισμένα από αυτά τα κοινά σημεία δεδομένων θα μπορούσαν να είναι τυχαία, αλλά εξακολουθούμε να πιστεύουμε ότι συνολικά υποδηλώνουν την πιθανότητα κοινής συγγραφής ή κοινών πρακτικών ανάπτυξης», όπως αναφέρει ο Pierre Delcher, ερευνητής ασφαλείας στην Kaspersky.
«Εάν επαληθευτεί η υπόθεση πως το Tomiris και το Sunshuttle συνδέονται μεταξύ τους, τότε θα ήμασταν σε θέση να διαπιστώσουμε τον τρόπο που οι παράγοντες απειλής αναδημιουργούν τις ικανότητές τους μετά τον εντοπισμό τους. Θα θέλαμε να ενθαρρύνουμε την κοινότητα κυβερνοασφάλειας να αναπαράξει αυτήν την έρευνα και να καταθέσει δεύτερες σκέψεις σχετικά με τις ομοιότητες που ανακαλύψαμε μεταξύ του Sunshuttle και του Tomiris», προσθέτει ο Ivan Kwiatkowski, ερευνητής ασφαλείας στην Kaspersky.
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Ο Shawn Layden αμφιβάλει για day-one κυκλοφορίες first party τίτλων του PlayStation σε PC
- UK Charts: Πρωτιά για το FIFA 22 με το καλύτερο λανσάρισμα της χρονιάς
- Αδυναμία πρόσβασης σε Facebook, Messenger και Instagram [Ενημέρωση]
- Triangle Strategy: Στρατηγική RPG περιπέτεια τον Μάρτιο
- Intel Go PC: Η στιγμή που διαλέγεις στρατόπεδο…
- Facebook: Επιστρέφει μετά από 7 ώρες ιστορικού black out
- Το Tomiris backdoor πιθανόν υποδεικνύει νέα δραστηριότητα του παράγοντα απειλής που βρίσκεται πίσω από την επίθεση Sunburst
- Το FIBA Basketball Champions League αποκλειστικά στην Cosmote TV
- Dying Light 2: Συμμετοχή χολιγουντιανού ονόματος
- Οι χρήστες Galaxy μπορούν να ξεκλειδώνουν το αυτοκίνητο GV60 της Genesis με το νέο ασφαλές ψηφιακό Κλειδί της Samsung
- Δημοφιλέστερες Ειδήσεις TechPress
- Τελευταία Νέα TechPress
- Το Tomiris backdoor πιθανόν υποδεικνύει νέα δραστηριότητα του παράγοντα απειλής που βρίσκεται πίσω από την επίθεση Sunburst
- Το FIBA Basketball Champions League αποκλειστικά στην Cosmote TV
- Η Nova χορηγός της επίσημης πρεμιέρας «No Time to Die» στην Ελλάδα!
- Quest Συμμετοχών ΑΕ: Ολοκλήρωση απόκτησης συμμετοχής στην εταιρεία Intelli Solutions
- Η Philips monitors εντάσσεται στην πράσινη συμμαχία και επεκτείνει την υπηρεσία αιχμής μείωσης αποβλήτων
- 21 ημέρες, 2 travel bloggers, 2 HUAWEI Watch 3 Pro, αμέτρητες προκλήσεις: Ανταποκρίθηκαν στις προσδοκίες τα smartwatches;
- Η TP-Link παρουσιάζει τη νέα «έξυπνη» ταινία φωτισμού Tapo L900-5
- Ολοκληρωμένη 360ᵒ εμπειρία ήχου από την LG με το νέο LG XBOOM RP4
- Το World of Difference αναζητά δέκα νέους που θα μπουν στον κόσμο της κοινωνικής προσφοράς, με τη δύναμη της τεχνολογίας
- Info Quest Technologies: Χρυσός Χορηγός στην Επετειακή Έκθεση Ελλάδα 1821-2021
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Οι χρήστες Galaxy μπορούν να ξεκλειδώνουν το αυτοκίνητο GV60 της Genesis με το νέο ασφαλές ψηφιακό Κλειδί της Samsung
- Intel Go PC: Η στιγμή που διαλέγεις στρατόπεδο…
- Ο Shawn Layden αμφιβάλει για day-one κυκλοφορίες first party τίτλων του PlayStation σε PC
- Facebook: Επιστρέφει μετά από 7 ώρες ιστορικού black out
- UK Charts: Πρωτιά για το FIFA 22 με το καλύτερο λανσάρισμα της χρονιάς
- Πρώτο gameplay trailer για το River City Girls 2 της Arc System Works
- Triangle Strategy: Στρατηγική RPG περιπέτεια τον Μάρτιο
- Dying Light 2: Συμμετοχή χολιγουντιανού ονόματος
- Αδυναμία πρόσβασης σε Facebook, Messenger και Instagram [Ενημέρωση]
- Wanted: Dead, το νέο sci-fi action game από developers των Ninja Gaiden και Dead or Alive (video)