Trong quá trình điều tra về cuộc tấn công APT chưa được biết đến, các nhà nghiên cứu của Kaspersky đã phát hiện ra phần mềm độc hại mới có chứa một số thuộc tính quan trọng có khả năng kết nối với DarkHalo – kẻ đứng sau cuộc tấn công Sunburst – được xem là một trong những sự cố an ninh nhắm vào chuỗi cung ứng có ảnh hưởng lớn nhất trong những năm gần đây.
Sự cố bảo mật Sunburst đã gây xôn xao dư luận vào tháng 12 năm 2020 khi DarkHalo đã xâm nhập vào một nhà cung cấp phần mềm doanh nghiệp được sử dụng rộng rãi và trong một thời gian dài đã sử dụng cơ sở hạ tầng của họ để phát tán phần mềm gián điệp dưới chiêu bài cập nhật phần mềm hợp pháp. Sau sự lên tiếng từ giới truyền thông và sự săn lùng ráo riết của cộng đồng an ninh, kẻ tấn công dường như đã lọt vào tầm ngắm. Sau Sunburst, không có phát hiện lớn nào về các sự cố liên quan đến mối đe dọa này – có vẻ như APT DarkHalo đã “offline”. Tuy nhiên, kết quả nghiên cứu gần đây do Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky thực hiện cho thấy điều này có thể không đúng.
Tháng 6 năm 2021, hơn sáu tháng sau khi DarkHalo ẩn mình, các nhà nghiên cứu tại Kaspersky đã tìm thấy dấu vết của một cuộc tấn công chiếm quyền điều khiển DNS thành công chống lại một số tổ chức chính phủ ở cùng một quốc gia. Đánh cắp DNS là một loại tấn công độc hại trong đó tên miền (được sử dụng để kết nối địa chỉ URL của trang web với địa chỉ IP của máy chủ lưu trữ trang web) được sửa đổi theo cách định tuyến lại lưu lượng truy cập mạng đến máy chủ của kẻ tấn công. Ở trường hợp Kaspersky điều tra được, các mục tiêu của cuộc tấn công đang cố gắng truy cập web của dịch vụ email công ty nhưng bị chuyển hướng đến bản sao giả mạo và sau đó bị lừa tải xuống bản cập nhật phần mềm độc hại. Theo dõi đường đi của những kẻ tấn công, các nhà nghiên cứu của Kaspersky đã truy xuất “bản cập nhật” và phát hiện ra rằng nó đã triển khai một backdoor chưa từng biết trước đây: Tomiris.
Phân tích sâu hơn cho thấy mục đích chính của backdoor là thiết lập vị trí trong hệ thống bị tấn công và tải xuống các thành phần độc hại khác. Thật không may, mục tiêu thứ hai đã không được xác định trong quá trình điều tra; tuy nhiên, Kaspersky đưa ra một nhận xét quan trọng khác: backdoor Tomiris lại giống với Sunshuttle một cách đáng ngờ – phần mềm độc hại được triển khai là kết quả của cuộc tấn công Sunburst khét tiếng.
Những điểm tương đồng được phát hiện tính đến thời điểm hiện tại:
- Tương tự Sunshuttle, Tomiris được phát triển bằng ngôn ngữ lập trình Go
- Mỗi backdoor sử dụng một phương thức mã hóa để thay đổi cấu hình và lưu lượng mạng
- Cả 2 backdoor đều hoạt động theo các nhiệm vụ đã lên lịch để hoạt động lâu dài, sử dụng hàm random và sleep delay để ẩn mình
- Quy trình làm việc chung của hai chương trình, đặc biệt là cách các tính năng được phân phối thành các chức năng, trông giống nhau đến mức các nhà phân tích của Kaspersky cho rằng chúng có thể là dấu hiệu của các phương pháp phát triển được chia sẻ để dùng chung
- Các lỗi tiếng Anh được tìm thấy trong cả chuỗi Tomiris (‘isRunned’) và Sunshuttle (‘EXECED’ thay vì ‘execute’) cho thấy cả hai chương trình độc hại được tạo ra bởi những người không nói tiếng Anh – điều được thừa nhận rộng rãi rằng kẻ tấn công DarkHalo nói tiếng Nga
- Tomiris đã được phát hiện trong các mạng nơi các máy khác bị nhiễm Kazuar – backdoor được biết đến với mã trùng lặp với Sunburst
Ivan Kwiatkowski, nhà nghiên cứu bảo mật tại Kaspersky chia sẻ: “Nếu phỏng đoán của chúng tôi rằng Tomiris và Sunshuttle có liên hệ với nhau là chính xác, thì điều đó sẽ làm sáng tỏ cách các tác nhân đe dọa xây dựng lại năng lực sau khi bị bắt. Chúng tôi muốn khuyến khích cộng đồng tình báo về mối đe dọa tái thực hiện nghiên cứu này và đưa ra nhận định về những điểm tương đồng mà chúng tôi đã phát hiện ra giữa Sunshuttle và Tomiris.”
Để tìm hiểu thêm về mối liên kết giữa Tomiris và Sunburst, vui lòng truy cập: Securelist.com.