Nel corso delle indagini su una minaccia persistente avanzata (APT) ancora sconosciuta, i ricercatori di #kaspersky si sono imbattuti in un nuovo malware contenente diverse caratteristiche che ricordano DarkHalo, il threat actor che si nasconde dietro l'attacco Sunburst. Quest’ultimo è considerato uno dei peggiori incidenti di sicurezza alla supply chain degli ultimi anni.
L'incidente di sicurezza di Sunburst ha fatto notizia nel dicembre 2020, quando il threat actor DarkHalo ha compromesso un fornitore di software aziendale ampiamente utilizzato e per molto tempo si è servito della sua infrastruttura per diffondere spyware mascherati da aggiornamenti software. Dopo molto clamore mediatico e un'estesa caccia da parte della community di sicurezza informatica, il gruppo criminale sembrava essere scomparso dai radar. Dopo Sunburst, non ci sono state altre scoperte rilevanti di incidenti attribuibili a questo gruppo: l'APT di DarkHalo sembrava fosse andato offline. Tuttavia, i risultati di una recente ricerca condotta dal #kaspersky Global Research and Analysis Team mostrano che potrebbe non essere così.
Nel giugno 2021, più di sei mesi dopo aver perso le tracce di DarkHalo, i ricercatori #kaspersky hanno trovato segni di un attacco DNS hijacking riuscito, rivolto a diverse organizzazioni governative nello stesso paese. Il DNS hijacking è un tipo di attacco malevolo in cui il nome del dominio (utilizzato per collegare l'indirizzo URL di un sito web con l'indirizzo IP del server su cui il sito è ospitato) viene modificato in modo da reindirizzare il traffico di rete verso un server controllato dall’attaccante. Nel caso scoperto da #kaspersky, le vittime dell’attacco cercavano di accedere all'interfaccia web di un servizio di posta elettronica aziendale, ma sono state reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di #kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta: Tomiris.
Ulteriori analisi hanno mostrato che lo scopo principale della backdoor era quello di stabilire un punto d'appoggio nel sistema attaccato e di scaricare altri componenti dannosi. Questi ultimi, purtroppo, non sono stati identificati durante le indagini; tuttavia, è stata fatta un'altra importante osservazione: la backdoor Tomiris ha destato sospetti in quanto si è rivelata simile a Sunshuttle, un malware diffuso come conseguenza del famigerato attacco Sunburst.
L'elenco delle somiglianze è costituito (e non limitato) da quanto segue:
“Nessuno di questi elementi presi singolarmente è sufficiente per collegare con certezza Tomiris e Sunshuttle. Ammettiamo che alcuni di questi collegamenti potrebbero essere accidentali, ma riteniamo comunque che considerati nell’insieme suggeriscano almeno la possibilità di una paternità comune o di pratiche di sviluppo condivise", ha affermato Pierre Delcher, security researcher di #kaspersky.
“Se la nostra ipotesi che Tomiris e Sunshuttle siano collegati è corretta, questo getterebbe nuova luce sul modo in cui i threat actor ricostruiscono i propri mezzi dopo essere stati scoperti. Vogliamo incoraggiare la community di threat intelligence a riprodurre questa ricerca e fornire ulteriori opinioni sulle somiglianze che abbiamo scoperto tra Sunshuttle e Tomiris", ha aggiunto Ivan Kwiatkowski, security researcher di Kaspersky.
© Copyright 2024