Różności i nowinki technologia

Szkodliwe oprogramowanie SolarWinds ma „ciekawe” powiązania z rosyjskojęzycznymi hakerami

Stylizowana czaszka i skrzyżowane piszczele wykonane z jedynek i zer.

Szkodliwe oprogramowanie użyte do włamania się do Microsoftu, firmy zajmującej się bezpieczeństwem FireEye i co najmniej pół tuzina agencji federalnych ma „interesujące podobieństwa” do złośliwego oprogramowania, które krąży co najmniej od 2015 roku, poinformowali w poniedziałek naukowcy.

Sunburst to nazwa, którą badacze bezpieczeństwa nadali złośliwemu oprogramowaniu, które zainfekowało około 18 000 organizacji, instalując złośliwą aktualizację Orion, narzędzia do zarządzania siecią sprzedawanego przez SolarWinds z Austin w Teksasie. Nieznani napastnicy, którzy umieścili Sunburst w Orionie, wykorzystali go do zainstalowania dodatkowego złośliwego oprogramowania, które zagrzebało się w wybranych sieciach. Dzięki infekcjom, które dotknęły Departamenty Sprawiedliwości, Handlu, Skarbu, Energii i Bezpieczeństwa Wewnętrznego, kampania hakerska jest jedną z najgorszych we współczesnej historii Stanów Zjednoczonych. Agencja Bezpieczeństwa Narodowego, FBI i dwie inne agencje federalne stwierdziły w zeszłym tygodniu, że za atakiem, który rozpoczął się nie później niż w październiku 2019 r., „Prawdopodobnie” stał rząd rosyjski. Podczas gdy kilka źródeł wiadomości, powołując się na nienazwanych urzędników, donosiło o włamaniach. prac Kremla SVR, czyli Służby Wywiadu Zagranicznego, badacze nadal poszukują dowodów, które ostatecznie potwierdzają lub obalają te stwierdzenia.

Trochę podejrzane

W poniedziałek badacze z moskiewskiej firmy zajmującej się bezpieczeństwem Kaspersky Lab poinformowali o „ciekawych podobieństwach” w kodzie Sunburst i Kazuar, złośliwego oprogramowania, które po raz pierwszy ujrzało światło dzienne w 2017 roku. Kazuar, badacze z firmy bezpieczeństwa Palo Alto Networks, powiedzieli wówczas używany obok znanych narzędzi Turli, jednej z najbardziej zaawansowanych grup hakerskich na świecie, której członkowie mówią płynnie po rosyjsku.

W opublikowanym w poniedziałek raporcie badacze z Kaspersky Lab stwierdzili, że znaleźli co najmniej trzy podobieństwa w kodzie i funkcjach Sunburst i Kazuar. Oni są:

  • Algorytm używany do generowania unikalnych identyfikatorów ofiar
  • Algorytm używany do uśpienia złośliwego oprogramowania lub opóźnienia podjęcia działania po zainfekowaniu sieci oraz
  • Szerokie zastosowanie algorytmu mieszającego FNV-1a do zaciemniania kodu.

„Należy wskazać [out] że żaden z tych fragmentów kodu nie jest w 100% identyczny ”- napisali badacze z Kaspersky Lab Gregory Kucherin, Igor Kuznetsov i Costin Raiu. – Niemniej jednak są to dziwne zbiegi okoliczności [the] najmniej. Jeden zbieg okoliczności nie byłby aż tak niezwykły, dwa zbiegów okoliczności ostatecznie uniosłyby brew, a trzy takie są dla nas trochę podejrzane ”.

Poniedziałkowy post ostrzega przed wyciąganiem zbyt wielu wniosków z podobieństw. Mogą oznaczać, że Sunburst został napisany przez tych samych programistów, co Kazuar, ale mogą być również wynikiem próby zmylenia badaczy co do prawdziwego pochodzenia ataku na łańcuch dostaw SolarWinds, czegoś, co badacze nazywają operacją fałszywej flagi.

Inne możliwości obejmują programistę, który pracował nad Kazuarem, a później zaczął pracę dla grupy, tworząc Sunburst, programiści Sunburst inżynierię wsteczną Kazuar i wykorzystujący go jako inspirację, lub programiści Kazuar i Sunburst, którzy uzyskali złośliwe oprogramowanie z tego samego źródła.

Badacze z Kaspersky Lab napisali:

W tej chwili nie wiemy, która z tych opcji jest prawdziwa. Chociaż Kazuar i Sunburst mogą być spokrewnieni, natura tego związku nadal nie jest jasna. W wyniku dalszej analizy możliwe jest, że pojawią się dowody potwierdzające jeden lub kilka z tych punktów. Jednocześnie możliwe jest również, że programiści Sunburst byli naprawdę dobrzy w swoich opsec i nie popełnili żadnych błędów, a ten link jest skomplikowaną fałszywą flagą. W każdym razie to nakładanie się nie zmienia wiele dla obrońców. Ataki na łańcuch dostaw to obecnie jedne z najbardziej wyrafinowanych typów ataków, które w przeszłości były z powodzeniem wykorzystywane przez grupy APT, takie jak Winnti / Barium / APT41 i różne grupy cyberprzestępcze.

Urzędnicy federalni i badacze powiedzieli, że zrozumienie pełnego wpływu wielomiesięcznej kampanii hakerskiej może zająć miesiące. Poniedziałkowy post wezwał innych badaczy do dalszej analizy podobieństw w celu uzyskania dodatkowych wskazówek dotyczących tego, kto stoi za atakami.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook