Kilka dni temu pojawiły się informacje o nowo wykrytym ataku na łańcuch dostawy. Niezidentyfikowani cyberprzestępcy, określani jako UNC2452 lub DarkHalo, umieścili w oprogramowaniu SolarWinds Orion backdoora, który został pobrany przez ponad 18 000 klientów tego rozwiązania. Badacze z firmy Kaspersky przeprowadzili analizę tego backdoora, która ujawniła interesujące i dość unikatowe funkcje.


Zdaniem ekspertów atak na łańcuch dostawy został zaprojektowany bardzo profesjonalnie, a wyraźnym celem cyberprzestępców było pozostanie w ukryciu przez jak najdłuższy czas. Na przykład przed pierwszym użyciem internetu do nawiązania połączenia z serwerem cyberprzestępczym szkodliwy program Sunburst pozostaje w uśpieniu przez długi czas, nawet przez dwa tygodnie, co uniemożliwia łatwe wykrycie jego zachowania przy użyciu piaskownicy. Tłumaczy to, dlaczego atak był tak trudny do zauważenia.

 

We wczesnych fazach ataku Sunburst komunikuje się z serwerem cyberprzestępczym poprzez wysyłanie zaszyfrowanych żądań DNS. Zawierają one informacje o zainfekowanym komputerze, by atakujący wiedzieli, czy warto dalej prowadzić operację.

 

Wykorzystując fakt, że żądania DNS generowane przez szkodliwy program Sunburst zawierają pewne informacje o potencjalnych ofiarach, oraz używając publicznie dostępnych skryptów do dekodowania takich żądań, badacze z firmy Kaspersky przygotowali własne narzędzia do dalszej analizy ponad 1 700 wpisów DNS związanych z omawianym incydentem. W ten sposób określono ponad 1 000 unikatowych nazw celów ataków i ponad 900 unikatowych identyfikatorów użytkowników. Liczby te mogą wydawać się całkiem duże, jednak wszystko wskazuje na to, że atakujący byli zainteresowani wyłącznie celami, które uważali za wartościowe.

 

W trakcie analizy trzy spośród żądań uznanych przez atakujących za wartościowe zostały zdekodowane przez badaczy do dwóch nazw domen należących do organizacji rządowej oraz firmy telekomunikacyjnej w Stanach Zjednoczonych. Ze względów etycznych badacze z firmy Kaspersky nie wymieniają tych nazw domen. Firma Kaspersky poinformowała już obydwie organizacje i zaoferowała pomoc w zidentyfikowaniu dalszej szkodliwej aktywności.

 

Publikacja: Sebastian Kubiak

Dodaj komentarz

Kod antyspamowy
Odśwież

­