Der Sunburst-Sicherheitsvorfall [1] geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.

Im Juni 2021 – mehr als sechs Monate nach dem Abtauchen von DarkHalo – identifizierten Kaspersky-Forscher Spuren eines erfolgreichen DNS-Hijacking-Angriffs gegen mehrere Regierungsorganisationen im selben Land. Bei DNS-Hijacking handelt es sich um einen Angriff, bei dem ein Domänenname – der zum Einsatz kommt, um die URL-Adresse einer Webseite mit der IP-Adresse des Servers zu verbinden, auf dem die diese gehostet ist – so verändert wird, dass der Netzwerkverkehr auf einen vom Angreifer kontrollierten Server umgeleitet wird. In dem von Kaspersky entdeckten Fall versuchten die Zielpersonen der Cyberattacke, auf die Web-Schnittstelle eines E-Mail-Dienstes des Unternehmens zuzugreifen, wurden aber auf eine gefälschte Kopie dieser umgeleitet und luden infolgedessen ein schädliches Software-Update herunter. Die Kaspersky-Forscher folgten dem Weg der Angreifer und fanden heraus, dass dieses „Update“ die bisher unbekannte Backdoor ‚Tomiris‘ enthielt.

Die weitere Analyse ergab, dass der Hauptzweck der Backdoor darin bestand, im angegriffenen System Fuß zu fassen und weitere schädliche Komponenten herunterzuladen, die jedoch bei der Untersuchung nicht identifiziert werden konnten. Allerdings zeigt die Tomiris-Backdoor große Ähnlichkeit mit Sunshutttle – der Malware, die beim Sunburst-Angriff zum Einsatz kam:

  • Genau wie Sunshuttle wurde Tomiris in der Programmiersprache Go entwickelt.
  • Beide Backdoors nutzen ein einziges Verschlüsselungs-/Verschleierungsschema, um sowohl Konfigurationen als auch Netzwerkverkehr zu kodieren.
  • Beide stützen sich auf geplante Aufgaben, um ihre Aktivitäten zu verbergen, und verwenden Zufälligkeiten und Sleep Delays.
  • Der Workflow beider Programme, insbesondere die Art und Weise, wie die Features in Funktionen aufgeteilt sind, ähnelt sich so sehr, dass die Kaspersky-Analysten vermuten, dass dies auf gemeinsame Entwicklungspraktiken hindeuten könnte.
  • Sowohl in Tomiris („isRunned“) als auch in Sunshuttle („EXECED“ statt „executed“) wurden Fehler im Englischen gefunden. Dies deutet darauf hin, dass beide Schadprogramme von Personen erstellt wurden, deren Muttersprache nicht Englisch ist. Es ist allgemein bekannt, dass der DarkHalo-Akteur russisch spricht.
  • Die Tomiris-Backdoor wurde in Netzwerken entdeckt, in denen weitere Rechner mit Kazuar infiziert waren – eben jene Backdoor, die für ihre Code-Überschneidungen [2] mit der Sunburst-Backdoor bekannt ist.

„Keiner dieser Punkte reicht für sich allein genommen aus, um Tomiris und Sunshuttle mit ausreichender Sicherheit in Verbindung zu bringen“, kommentiert Pierre Delcher, Sicherheitsforscher bei Kaspersky. „Wir geben zu, dass einige dieser Ähnlichkeiten zufällig sein könnten, sind aber dennoch der Meinung, dass sie in Summe zumindest die Möglichkeit einer gemeinsamen Urheberschaft oder gemeinsamer Entwicklungspraktiken ergeben.“

„Wenn unsere Vermutung, dass eine Verbindung zwischen Tomiris und Sunshuttle besteht, korrekt ist, würde dies ein neues Licht auf die Art und Weise werfen, wie Bedrohungsakteure ihre Kapazitäten neu aufstellen, nachdem sie entdeckt wurden“, ergänzt Ivan Kwiatkowski, Sicherheitsforscher bei Kaspersky. „Wir möchten die Threat-Intelligence-Community dazu ermutigen, diese Untersuchung zu reproduzieren und ihre Meinung zu den Ähnlichkeiten zwischen Sunshuttle und Tomiris zu teilen, die wir entdeckt haben.“

Weitere Informationen zur Analyse zu Tomiris und dem Sunburst-Angriff sind verfügbar unter https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

[1] https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

[2] https://securelist.com/sunburst-backdoor-kazuar/99981/

Nützliche Links:


Tomiris-Backdoor: Möglicherweise neue Aktivitäten des Bedrohungsakteurs hinter Sunburst-Attacke

Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre.
Kaspersky Logo