Notizie locali
Pubblicità

Adnkronos

La backdoor Tomiris fa pensare ad una nuova attività del threat actor legato a Sunburst

Di Redazione

Pubblicità

Milano, 29 settembre 2021 - Nel corso delle indagini su una minaccia persistente avanzata (APT) ancora sconosciuta, i ricercatori di Kaspersky si sono imbattuti in un nuovo malware contenente diverse caratteristiche che ricordano DarkHalo, il threat actor che si nasconde dietro l'attacco Sunburst. Quest'ultimo è considerato uno dei peggiori incidenti di sicurezza alla supply chain degli ultimi anni.

L'incidente di sicurezza di Sunburst ha fatto notizia nel dicembre 2020, quando il threat actor DarkHalo ha compromesso un fornitore di software aziendale ampiamente utilizzato e per molto tempo si è servito della sua infrastruttura per diffondere spyware mascherati da aggiornamenti software. Dopo molto clamore mediatico e un'estesa caccia da parte della community di sicurezza informatica, il gruppo criminale sembrava essere scomparso dai radar. Dopo Sunburst, non ci sono state altre scoperte rilevanti di incidenti attribuibili a questo gruppo: l'APT di DarkHalo sembrava fosse andato offline. Tuttavia, i risultati di una recente ricerca condotta dal Kaspersky Global Research and Analysis Team mostrano che potrebbe non essere così.

Nel giugno 2021, più di sei mesi dopo aver perso le tracce di DarkHalo, i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito, rivolto a diverse organizzazioni governative nello stesso paese. Il DNS hijacking è un tipo di attacco malevolo in cui il nome del dominio (utilizzato per collegare l'indirizzo URL di un sito web con l'indirizzo IP del server su cui il sito è ospitato) viene modificato in modo da reindirizzare il traffico di rete verso un server controllato dall'attaccante. Nel caso scoperto da Kaspersky, le vittime dell'attacco cercavano di accedere all'interfaccia web di un servizio di posta elettronica aziendale, ma sono state reindirizzate ad una copia falsa dell'interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta: Tomiris.

Ulteriori analisi hanno mostrato che lo scopo principale della backdoor era quello di stabilire un punto d'appoggio nel sistema attaccato e di scaricare altri componenti dannosi. Questi ultimi, purtroppo, non sono stati identificati durante le indagini; tuttavia, è stata fatta un'altra importante osservazione: la backdoor Tomiris ha destato sospetti in quanto si è rivelata simile a Sunshuttle, un malware diffuso come conseguenza del famigerato attacco Sunburst.

L'elenco delle somiglianze è costituito (e non limitato) da quanto segue:

• Come Sunshuttle, anche Tomiris è stato sviluppato utilizzando il linguaggio di programmazione Go

• Ogni backdoor utilizza un unico schema di crittografia/offuscamento per codificare sia le configurazioni che il traffico di rete

• Entrambi si basano su task pianificate per la persistenza, e utilizzano tecniche di randomness e sleep delay per nascondere le loro attività

• Il flusso generale di lavoro dei due programmi, e in particolare il modo in cui le caratteristiche sono distribuite in funzioni, sono talmente simili da far pensare agli analisti di Kaspersky che si tratti di pratiche di sviluppo condivise.

• Sono stati rilevati errori di inglese sia nelle stringhe di Tomiris ("isRunned") che in Sunshuttle ("EXECED" invece di "executed"). Questo indica che entrambi i programmi sono stati sviluppati da criminali la cui lingua madre non è l'inglese. Inoltre è noto che il threat actor DarkHalo è di lingua russa.

“Nessuno di questi elementi presi singolarmente è sufficiente per collegare con certezza Tomiris e Sunshuttle. Ammettiamo che alcuni di questi collegamenti potrebbero essere accidentali, ma riteniamo comunque che considerati nell'insieme suggeriscano almeno la possibilità di una paternità comune o di pratiche di sviluppo condivise", ha affermato Pierre Delcher, security researcher di Kaspersky.

“Se la nostra ipotesi che Tomiris e Sunshuttle siano collegati è corretta, questo getterebbe nuova luce sul modo in cui i threat actor ricostruiscono i propri mezzi dopo essere stati scoperti. Vogliamo incoraggiare la community di threat intelligence a riprodurre questa ricerca e fornire ulteriori opinioni sulle somiglianze che abbiamo scoperto tra Sunshuttle e Tomiris", ha aggiunto Ivan Kwiatkowski, security researcher di Kaspersky.

Informazioni su Kaspersky

Seguici su:

Contatto di redazione:

Noesis

Pubblicità
COPYRIGHT LASICILIA.IT © RIPRODUZIONE RISERVATA
Di più su questi argomenti: