Tomiris: una nuova backdoor che (forse) arriva dagli autori dell'attacco a SolarWinds

Un'analisi condotta da Kaspersky e presentata al SAS2021, il Security Analysts Summit, sembra collegare le attività di DarkHalo, il gruppo di cybercriminali responsabile dell'attacco a SolarWinds, a Tomiris, una backdoor usata ai danni di uno Stato membro del CSI (Commonwealth di Stati Indipendenti, l'organizzazione sovranazionale che riunisce le ex repubbliche sovietiche). Non c'è certezza che si tratti di DarkHalo ma, se ciò fosse vero, sarebbe un importante segnale che le organizzazioni responsabili di questi attacchi di alto livello continuerebbero le proprie attività anche dopo essere state scoperte.

Tomiris, la possibile erede di SunShuttle

I ricercatori di Kaspersky hanno individuato un attacco perpetrato ai danni di uno Stato membro del CSI: tale attacco include l'uso di una backdoor che i ricercatori hanno chiamato Tomiris (nell'immagine a destra, raffigurata da Giovanni Antonio Pellegrini), in onore della regina dei Massageti che avrebbe ucciso, secondo Erodoto, Ciro il Grande. Tomiris si occupa di comunicare con un server esterno di comando e controllo, dal quale vengono scaricati eseguibili aggiuntivi e verso il quale vengono inviati dati presenti sui sistemi infettati.

L'infezione è avvenuta grazie a un altro attacco, tramite il quale i cybercriminali hanno preso il controllo dei server DNS di alcune zone, portando gli obiettivi a connettersi a pagine all'apparenza legittime anche dal punto di vista dei certificati SSL. In questo modo non era evidente la compromissione anche a un occhio attento. Grazie a questa compromissione, i cybercriminali sono riusciti a ottenere credenziali di vario tipo da usare successivamente nell'attacco, talvolta aggiungendo un messaggio di errore che invitava a scaricare un file di aggiornamento fittizio contenente, in realtà, Tomiris.

Come SunShuttle, Tomiris è sviluppata in Go, usa la funzionalità di pianificazione di Windows per rimanere sul sistema, usa pause casuali nella sua attività nel tentativo di eludere i sistemi di rilevazione, contiene errori nell'inglese usato (come "isRunned" al posto di "isRun") e usa una struttura in cui il thread principale rimane inattivo. Un'ulteriore somiglianza è che viene usato lo stesso schema di offuscamento dei file di configurazione e delle comunicazioni con i server di comando e controllo.

Un punto emerge da questa ricerca, ed è che queste somiglianze indicherebbero che gli autori di questi due attacchi siano gli stessi. Ciò porta a pensare, visto l'altissimo profilo dei bersagli e visti i tempi rapidi di riorganizzazione, che questo gruppo criminale abbia accesso a notevoli risorse. Un ulteriore elemento che collega i due attacchi è la presenza sulle reti infettate da Tomiris di Kazuar, una seconda backdoor utilizzata già negli attacchi con SunShuttle ai danni dei clienti di SolarWinds. Un'ipotesi è che altri criminali abbiano usato Kazuar per sviare i ricercatori, ma secondo Kaspersky le prime tracce di Tomiris (e di Kazuar sulle stesse reti) sono state individuate a febbraio 2021, un mese prima che venissero rivelati gli attacchi con SunShuttle. I ricercatori di Kaspersky ipotizzano dunque che gli autori siano gli stessi e che abbiano iniziato lo sviluppo di Tomiris dopo essere stati scoperti a dicembre 2020.

Kaspersky scrive che "se la nostra ipotesi che Tomiris e Sunshuttle siano connessi è corretta, ciò getterebbe nuova luce sul modo in cui i threat actor si riorganizzano dopo essere stati beccati". In questo caso, infatti, sarebbero stati riutilizzati alcuni degli strumenti usati nell'attacco precedente, cosa piuttosto insolita anche per gli APT (Advanced Persistent Threat) sponsorizzati dagli Stati e, pertanto, organizzati in maniera più rigida rispetto ai normali gruppi criminali.

Trovate ulteriori dettagli in un articolo pubblicato sul blog di Kaspersky.