A hiányzó láncszem

2021.01.24. 06:00

Egészen kifinomult malware támadást fejtettek meg

A Kaspersky szakemberei észlelték a kódolási hasonlóságokat egy régebbi eset és a mostani között.

Forrás: Shutterstock

Még december 13-án a FireEye, a Microsoft és a SolarWinds egy ellátási lánc ellen irányuló nagyszabású, kifinomult támadás felfedezéséről számolt be, amelyben egy korábban ismeretlen malware-t – a Sunburstöt – vetették be a SolarWinds Orion platformja informatikai ügyfeleinek támadásához.

Többféle kódolási hasonlóságot találtak

a Sunburst és a Kazuar hátsó kapuk – azaz az áldozat gépéhez távoli hozzáférést biztosító malware-típus – ismert verziói között. Az új megállapítások olyan meglátásokkal szolgálnak, amelyek segítségével a kutatók előrelépést érhetnek el a támadás kivizsgálásában.

A hátsó kapu tanulmányozása olyan jellemzőket fedeztek fel, amelyek átfedéseket mutatnak a – korábban a .NET keretrendszer használatával létrehozott hátsó kapuként azonosított – Kazuarral.

A kiberkém-támadásokhoz világszerte használt Kazuarról először Palo Alto számolt be 2017-ben. A kódban felfedezett többféle hasonlóság arra enged következtetni, hogy kapcsolat van a Kazuar és a Sunburst között, bár a kapcsolat jellegét még nem sikerült meghatározni.

Az átfedések közé tartozik többek között az áldozat felhasználói azonosítójának generálására szolgáló algoritmus, az alvó algoritmus kódolási hasonlóságai, valamint az FNV1a hash (egy egyszerű hash funkció) széleskörű használata a karakterláncok összehasonlításának összezavarására. A kódrészletek azonban különbözőek. A szakemberek szerint elképzelhető, hogy a Sunburstöt a Kazuar forráskódjáról még valamikor 2019 végén készült pillanatfelvétel alapján hozták létre.

A Kazuar ráadásul folyamatosan fejlődött, és a 2020-as későbbi variánsok bizonyos tekintetben még nagyobb hasonlóságot mutatnak a Sunburst válfajjal.

„A felfedezett kapcsolatból nem derül ki, hogy ki állt a SolarWindset érő támadás mögött, azonban olyan meglátásokkal szolgál, amelyek segítségével a kutatók előbbre juthatnak a vizsgálatban. Véleményünk szerint fontos, hogy világszerte más kutatók is megvizsgálják ezeket a hasonlóságokat.” – fejtette ki Costin Raiu, a Kaspersky globális kutató és elemző csapatának igazgatója.

A Kaspersky az alábbiakat javasolja a malware-ek (pl. a SolarWindset érő támadáshoz használt hátsó ajtó) általi fertőzés kockázatának kivédéséhez:

• A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadásos adatokhoz és meglátásokhoz. A szolgáltatás válogatott funkcióhoz – melyek segítségével a felhasználók fájlokat, URL-eket és IP-címeket ellenőrizhetnek – itt lehet ingyenesen hozzáférni.

• Azoknak a szervezeteknek, amelyek saját maguk akarnak vizsgálatokat végezni, a vállalat a Kaspersky Threat Attribution Engine elnevezésű eszköz használatát ajánlja. Az eszköz összehasonlítja a felfedezett kártékony kódot a malware-adatbázisokkal, és a kód hasonlóságai alapján hozzárendeli azt a korábban leleplezett APT-kampányokhoz.

Borítóképünk illusztráció

Hírlevél feliratkozás
Ne maradjon le a beol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!