Разследването на безпрецедентната хакерска атака към компанията, доставяща софтуерни решения за компютърна администрация SolarWinds продължава и тази седмица. Последната новина, свързана с това, което може спокойно да се определи, като най-големия инцидент в киберсигурността на 2020, идва от страна на компанията за информационна сигурност Kaspersky.

Както вече ви разказахме, в средата на миналия месец стана ясно, че неизвестна страна е компрометирала процесите по доставка на обновление на клиентите на Orion, един от основните продукти на SolarWinds, при което стотици нейни потребители са получили в мрежите си зловредна програма, която играе ролята на троянски кон за организациите. По данни на самите SolarWinds, засегнатите от атаката са близо 18 000. Разследващите инцидента се натъкват на две основни зловредни програми, като по-късно стана ясно, че вероятно става дума за две отделни атаки към потребителите на Orion. Програмата, която е идвала с фалшивото обновление за системата беше кръстена Sunburst, като множество официални лица от правителството на САЩ и защитната индустрия назоваха Русия като източник на атаката.

Въпросът за приписване на отговорността за атаката не се простира единствено до конкретната държава, която може да стои зад нея, но и за криминалната структура, отговорна зад нея. APT (Advanced Persistent Threat) служи да означи специфични хакерски групи и методите им за атака, които се различават от обикновените киберпрестъпници. Последните търсят най-често финансова изгода от набезите си в интернет пространството, а кампаниите им обикновено са кратковременни и проведени с по-малко ресурси. APT групите – хакерски групи, наемани от страна на правителства – разполагат често със сериозни ресурси и техническа експертиза. Атаките им нерядко включват непознати до този момент експлойти за уязвимости на различни програми и изготвени от тях зловредни програми, а целта им е да останат колкото се може по-дълго в мрежата на целите си, извършвайки кибершпионаж, а понякога и саботажни действия (каквито цели например има кампанията „Олимпийски игри“, атакувала иранските ядрени мощности през 2009). Що се отнася до случая със SolarWinds, FireEye, една от компаниите, които разследват случая, назоваха групата зад атаката като UNC2452, което служи да означи, че тя е непозната на специалистите. Неразпознаваема е и за друга компания, заела се със случая: Volexity, които назовават групировката Dark Halo. Но сега, Kaspersky откриват сходства между тези, които са атакували мрежите на SolarWinds и друга престъпна организация. Компанията е открила сходства между .NET зловредна програма с името Kazuar и Sunburst.

Смята се, че Kazuar е зловредна програма с бекдор функционалности, която се използва за пръв път преди пет години, а първи подробности за нея предоставят от Palo Alto Networks през 2017. Зловредната програма се явява един от инструментите на атака на Turla, APT, който действа в последните 14 години в онлайн пространството.

В публикация в един о блоговете на компанията от вчера, Kaspersky дава подробности за своето откритие и приликите между двете програми. Те намират такива в блокове от код, които, както посочват от Kaspersky са напълно идентични. „Заедно с някои от направените избори при разработката, това подсказва, че в работата по Kazuar и Sunburst е използван сходен подход. Развитието на Kazuar продължава да бъде развиван и варианти на програмата от 2020 са даже още по-сходни в някои отношения със Sunburst“, пишат Kaspersky.

Специалистите дискутират няколко възможни сценария тук. Освен, че двете програми може да са разработени от една и съща група, то е възможно също така и авторите на Sunburst да са използвали само част от кода и идеи от Kazuar без да са свързани двете групи. Друга вероятност е двете групи просто да ползват код от общ източник, дизайнерите на Kazuar да са се пренесли в екипа, който е работил по Sunburst или сходствата между двете програми да са просто „атака под фалшив флаг“, чиято цел е да заблуди разследващите. Що се отнася до първоначалните предположения, че това може да е една от най-известните APT групи, APT29, то Kaspersky не изключват и връзка между Turla и APT29.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари