Tomiris: una nuova backdoor che (forse) arriva dagli autori dell'attacco a SolarWinds
di Riccardo Robecchi pubblicata il 07 Ottobre 2021, alle 15:41 nel canale SecurityKaspersky ha rivelato di aver scoperto Tomiris, una backdoor che ha molte somiglianze con SunShuttle, lo strumento usato per l'attacco a SolarWinds. L'obiettivo di Tomiris era uno Stato nel gruppo delle repubbliche ex sovietiche
Un'analisi condotta da Kaspersky e presentata al SAS2021, il Security Analysts Summit, sembra collegare le attività di DarkHalo, il gruppo di cybercriminali responsabile dell'attacco a SolarWinds, a Tomiris, una backdoor usata ai danni di uno Stato membro del CSI (Commonwealth di Stati Indipendenti, l'organizzazione sovranazionale che riunisce le ex repubbliche sovietiche). Non c'è certezza che si tratti di DarkHalo ma, se ciò fosse vero, sarebbe un importante segnale che le organizzazioni responsabili di questi attacchi di alto livello continuerebbero le proprie attività anche dopo essere state scoperte.
Tomiris, la possibile erede di SunShuttle
I ricercatori di Kaspersky hanno individuato un attacco perpetrato ai danni di uno Stato membro del CSI: tale attacco include l'uso di una backdoor che i ricercatori hanno chiamato Tomiris (nell'immagine a destra, raffigurata da Giovanni Antonio Pellegrini), in onore della regina dei Massageti che avrebbe ucciso, secondo Erodoto, Ciro il Grande. Tomiris si occupa di comunicare con un server esterno di comando e controllo, dal quale vengono scaricati eseguibili aggiuntivi e verso il quale vengono inviati dati presenti sui sistemi infettati.
L'infezione è avvenuta grazie a un altro attacco, tramite il quale i cybercriminali hanno preso il controllo dei server DNS di alcune zone, portando gli obiettivi a connettersi a pagine all'apparenza legittime anche dal punto di vista dei certificati SSL. In questo modo non era evidente la compromissione anche a un occhio attento. Grazie a questa compromissione, i cybercriminali sono riusciti a ottenere credenziali di vario tipo da usare successivamente nell'attacco, talvolta aggiungendo un messaggio di errore che invitava a scaricare un file di aggiornamento fittizio contenente, in realtà, Tomiris.
Come SunShuttle, Tomiris è sviluppata in Go, usa la funzionalità di pianificazione di Windows per rimanere sul sistema, usa pause casuali nella sua attività nel tentativo di eludere i sistemi di rilevazione, contiene errori nell'inglese usato (come "isRunned" al posto di "isRun") e usa una struttura in cui il thread principale rimane inattivo. Un'ulteriore somiglianza è che viene usato lo stesso schema di offuscamento dei file di configurazione e delle comunicazioni con i server di comando e controllo.
Un punto emerge da questa ricerca, ed è che queste somiglianze indicherebbero che gli autori di questi due attacchi siano gli stessi. Ciò porta a pensare, visto l'altissimo profilo dei bersagli e visti i tempi rapidi di riorganizzazione, che questo gruppo criminale abbia accesso a notevoli risorse. Un ulteriore elemento che collega i due attacchi è la presenza sulle reti infettate da Tomiris di Kazuar, una seconda backdoor utilizzata già negli attacchi con SunShuttle ai danni dei clienti di SolarWinds. Un'ipotesi è che altri criminali abbiano usato Kazuar per sviare i ricercatori, ma secondo Kaspersky le prime tracce di Tomiris (e di Kazuar sulle stesse reti) sono state individuate a febbraio 2021, un mese prima che venissero rivelati gli attacchi con SunShuttle. I ricercatori di Kaspersky ipotizzano dunque che gli autori siano gli stessi e che abbiano iniziato lo sviluppo di Tomiris dopo essere stati scoperti a dicembre 2020.
Kaspersky scrive che "se la nostra ipotesi che Tomiris e Sunshuttle siano connessi è corretta, ciò getterebbe nuova luce sul modo in cui i threat actor si riorganizzano dopo essere stati beccati". In questo caso, infatti, sarebbero stati riutilizzati alcuni degli strumenti usati nell'attacco precedente, cosa piuttosto insolita anche per gli APT (Advanced Persistent Threat) sponsorizzati dagli Stati e, pertanto, organizzati in maniera più rigida rispetto ai normali gruppi criminali.
Trovate ulteriori dettagli in un articolo pubblicato sul blog di Kaspersky.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoOvviamente nell'articolo non si dice. Se ci fosse un sospetto dulla Russia ci sarebbero i titoli a caratteri cubitali.
Kaspersky ovviamente fa le pulci agli USa come al solito.
Peccato che SolarWind sia stato un attacco alle infrastrutture USA
https://securelist.com/sunburst-con...requests/99862/
Adesso sono passati a qualche paese CSI, tra cui ti ricordo che ce ne sono diversi che non si amano per niente ( Russia e Ucraina ad esempio )
Quando si mette un paese a caratteri cubitali è perché si fanno scoprire con le mani immerse nella marmellata, ed è successo spesso alla Russia, alla Cina e pure agli USA
La differenza è che se Cina e Russia vengono beccate a spiare in USA i giornali statunitensi ne parlano, se gli USA si fanno beccare in Cina o un Russia nessun giornale locale dice niente.
Ovviamente nell'articolo non si dice. Se ci fosse un sospetto dulla Russia ci sarebbero i titoli a caratteri cubitali.
Kaspersky ovviamente fa le pulci agli USa come al solito.
"Finally, some small clues found during this investigation indicate with low confidence that the authors of Tomiris could be Russian-speaking."
Non ci sono i titoli a caratteri cubitali perché cerchiamo di dare risalto ai fatti di cui si può avere certezza e non a dubbi e voci. Ti invito a leggere l'articolo di Kaspersky, prima di sentenziare su di loro.
Non ci sono i titoli a caratteri cubitali perché cerchiamo di dare risalto ai fatti di cui si può avere certezza e non a dubbi e voci. Ti invito a leggere l'articolo di Kaspersky, prima di sentenziare su di loro.
Ho visto che la scritta per chiedere il download di Tomiris è in cirillico, non mi stupirei se l'autore del malware fosse di lingua russa. Queto non cambia il fatto che gli USA sono tra i principali attori ad avere interesse nello spiare l'associazione di stati CSI.
Per chi non lo sapesse questi sono gli Stati della CSI:
Armenia
Azerbaijan
Belarus
Kazakhstan
Kyrgyzstan
Moldova
Russia
Tajikistan
Uzbekistan
https://en.wikipedia.org/wiki/Commo...ates#Membership
Ovviamente non c'è l'Ukraina.
Chi mai può avere interesse a spiare questi Stati? Domanda retorica.
Ora io con la mia web mail non avrò mai da scaricare pacchetti per la sicurezza e se la mia web mail me lo suggerisse sarei molto sospettoso e mi chiederei se è stata compromessa.
Da una web mail non ci sarà mai da scaricare alcun pacchetto di sicurezza: per la sicurezza o aggiorno il browser o aggiorno il mio S.O.. La web mail non c'èentra con la sicurezza al massimo se ho il server devo aggiornale i pacchetti del Server.
Ti chiedo scusa per il ritardo nella risposta. Mi sembra tu faccia un po' di confusione e che basi le tue opinioni su una tua sensazione personale, per antipatia o simpatia verso una o l'altra parte, senza ascoltare invece la ragione. Hai deciso che sono gli USA senza vedere il codice sorgente di Tomiris, senza fare alcuna analisi, e scrivi "Ho visto che la scritta per chiedere il download di Tomiris è in cirillico, non mi stupirei se l'autore del malware fosse di lingua russa" come fosse una prova schiacciante, quando in realtà fai un ragionamento errato: ciò non ha niente a che vedere con l'autore, ma riguarda l'obiettivo della campagna, esattamente come le campagne di phishing che arrivano a me sono in italiano e non nella lingua dell'autore (che, per quanto ne so, potrebbe anche essere polinesiano).
Se degli esperti fanno delle affermazioni dopo aver studiato a fondo un problema, io ho la tendenza a non fare affermazioni contrarie senza prima aver studiato a fondo il problema io stesso perché mi parrebbe altrimenti di apparire arrogante. Mi rendo, però, conto che altri hanno diverse sensibilità e che si comportano dunque diversamente.
Se degli esperti fanno delle affermazioni dopo aver studiato a fondo un problema, io ho la tendenza a non fare affermazioni contrarie senza prima aver studiato a fondo il problema io stesso perché mi parrebbe altrimenti di apparire arrogante. Mi rendo, però, conto che altri hanno diverse sensibilità e che si comportano dunque diversamente.
Certamente non è una prova schiacciante il fatto che ci siano scritte in cirillico ma anche il fatto contrario non mi pare che sia provato in modo schiacciante. Visto che le email con un italiano poco consono, corretto oppure sgrammaticato fanno subito pensare a una email truffaldina è corretto pensare che ci sia stato del personale di lingua russa dentro a questo progetto e che quindi questo si rifletta nella descrizione del ricercatore che ha analizzato l'attacco.
Il ricercatore non individua la nazionalità dell'attacco ma ben diversamente la lingua parlata con basso grado di affidabilità:
«with low confidence that the authors of Tomiris could be Russian-speaking.»
non spiega perché parla di lingua parlata ma è presumibile che tutto quello che sia il contatto con la vittima tramite messaggia sia un punto importante e fatto bene in russo corretto.
Il ricercatore non individua la nazionalità dell'attacco ma ben diversamente la lingua parlata con basso grado di affidabilità:
«with low confidence that the authors of Tomiris could be Russian-speaking.»
non spiega perché parla di lingua parlata ma è presumibile che tutto quello che sia il contatto con la vittima tramite messaggia sia un punto importante e fatto bene in russo corretto.
Perdonami, ma non cogli affatto il punto. La lingua delle pagine di login non è il motivo per cui Kaspersky pensa che si tratti di persone russofone, lo sono gli errori di compitazione e il modo in cui sono chiamate le variabili nel software. Ribadisco: è la lingua della vittima a definire la lingua utilizzata per il materiale con cui si effettua l'attacco, non quella dell'attaccante. Dal momento che parliamo di un attacco iper-complesso e che aveva come obiettivo degli Stati, è lecito aspettarsi che la lingua usata nelle varie pagine sia corretta; non parliamo del piccolo truffatore che ti ha cifrato il computer e vuole 300 dollari, e che si accontenta della traduzione fatta con Google, ma di un'organizzazione complessa e con accesso a fondi significativi, dunque l'uso di un linguaggio corretto nel materiale è la base di partenza, non un punto di arrivo.
Il motivo per cui i ricercatori parlano di "persone che parlano russo" è perché potrebbe benissimo trattarsi di persone la cui prima lingua è il russo, ma che vivono in Paesi altri rispetto alla Russia stessa; il fatto è che non è possibile, con gli elementi a disposizione, dire esplicitamente che dietro l'attacco ci sia la Russia e per questo ci si limita a parlare della lingua. La ragione per cui scrivono "con una bassa certezza" è perché non ci sono elementi "definitivi" che fanno pensare che certamente si tratti di russofoni, ma solo piccoli indizi qui e lì che fanno, però, venire il sospetto.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".