I ricercatori di Kaspersky si sono imbattuti nella backdoor Tomiris con caratteristiche simili al threat actor che si nasconde dietro l’attacco Sunburst.

backdoor Tomiris

Nel corso delle indagini su una minaccia persistente avanzata (APT) ancora sconosciuta, i ricercatori di Kaspersky si sono imbattuti nella backdoor Tomiris, in un nuovo malware contenente diverse caratteristiche che ricordano DarkHalo, il threat actor che si nasconde dietro l’attacco Sunburst. Quest’ultimo è considerato uno dei peggiori incidenti di sicurezza alla supply chain degli ultimi anni.

L’incidente di sicurezza di Sunburst ha fatto notizia nel dicembre 2020, quando il threat actor DarkHalo ha compromesso un fornitore di software aziendale ampiamente utilizzato e per molto tempo si è servito della sua infrastruttura per diffondere spyware mascherati da aggiornamenti software. Dopo molto clamore mediatico e un’estesa caccia da parte della community di sicurezza informatica, il gruppo criminale sembrava essere scomparso dai radar. Dopo Sunburst, non ci sono state altre scoperte rilevanti di incidenti attribuibili a questo gruppo: l’APT di DarkHalo sembrava fosse andato offline. Tuttavia, i risultati di una recente ricerca condotta dal Kaspersky Global Research and Analysis Team mostrano, con la backdoor Tomiris, che potrebbe non essere così.

Nel giugno 2021, più di sei mesi dopo aver perso le tracce di DarkHalo, i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito, rivolto a diverse organizzazioni governative nello stesso paese. Il DNS hijacking è un tipo di attacco malevolo in cui il nome del dominio (utilizzato per collegare l’indirizzo URL di un sito web con l’indirizzo IP del server su cui il sito è ospitato) viene modificato in modo da reindirizzare il traffico di rete verso un server controllato dall’attaccante. Nel caso scoperto da Kaspersky, le vittime dell’attacco cercavano di accedere all’interfaccia web di un servizio di posta elettronica aziendale, ma sono state reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava la backdoor Tomiris, fino ad allora sconosciuta.

Ulteriori analisi hanno mostrato che lo scopo principale della backdoor era quello di stabilire un punto d’appoggio nel sistema attaccato e di scaricare altri componenti dannosi. Questi ultimi, purtroppo, non sono stati identificati durante le indagini; tuttavia, è stata fatta un’altra importante osservazione: la backdoor Tomiris ha destato sospetti in quanto si è rivelata simile a Sunshuttle, un malware diffuso come conseguenza del famigerato attacco Sunburst.

L’elenco delle somiglianze della backdoor Tomiriscon Sunshuttle è costituito (e non limitato) da quanto segue:

  • Come Sunshuttle, anche la backdoor Tomiris è stata sviluppata utilizzando il linguaggio di programmazione Go;
  • Ogni backdoor utilizza un unico schema di crittografia/offuscamento per codificare sia le configurazioni che il traffico di rete;
  • Entrambi si basano su task pianificate per la persistenza, e utilizzano tecniche di randomness e sleep delay per nascondere le loro attività;
  • Il flusso generale di lavoro dei due programmi, e in particolare il modo in cui le caratteristiche sono distribuite in funzioni, sono talmente simili da far pensare agli analisti di Kaspersky che si tratti di pratiche di sviluppo condivise;
  • Sono stati rilevati errori di inglese sia nelle stringhe della backdoor Tomiris (“isRunned”) che in Sunshuttle (“EXECED” invece di “executed”). Questo indica che entrambi i programmi sono stati sviluppati da criminali la cui lingua madre non è l’inglese. Inoltre è noto che il threat actor DarkHalo è di lingua russa;
  • Infine, la backdoor Tomiris è stata scoperta in reti in cui altre macchine sono state infettate con Kazuar, la backdoor nota per le sue sovrapposizioni di codice con la backdoor Sunburst.

Nessuno di questi elementi presi singolarmente è sufficiente per collegare con certezza la backdoor Tomiris e Sunshuttle. Ammettiamo che alcuni di questi collegamenti potrebbero essere accidentali, ma riteniamo comunque che considerati nell’insieme suggeriscano almeno la possibilità di una paternità comune o di pratiche di sviluppo condivise”, ha affermato Pierre Delcher, security researcher di Kaspersky.

Se la nostra ipotesi che la backdoor Tomiris e Sunshuttle siano collegati è corretta, questo getterebbe nuova luce sul modo in cui i threat actor ricostruiscono i propri mezzi dopo essere stati scoperti. Vogliamo incoraggiare la community di threat intelligence a riprodurre questa ricerca e fornire ulteriori opinioni sulle somiglianze che abbiamo scoperto tra Sunshuttle e Tomiris”, ha aggiunto Ivan Kwiatkowski, security researcher di Kaspersky.

Per approfondire la connessione tra al backdoor Tomiris e l’attacco Sunburst, è possibile consultare il post del blog di Securelist.com.