Diversi giorni fa è stato segnalato un nuovo attacco rivolto alla supply chain da parte di un attaccante non noto, denominato UNC2452 o DarkHalo. Il gruppo ha impiantato una backdoor nel software IT SolarWinds Orion, che è stata scaricata da oltre 18.000 clienti di SolarWinds. I ricercatori di Kaspersky hanno esaminato questa backdoor, che si presenta sotto forma di un modulo .NET e che ha dimostrato di avere alcune caratteristiche interessanti e piuttosto uniche.
Secondo gli esperti, l’attacco alla supply chain è stato progettato in modo estremamente professionale e con l’obiettivo di passare inosservato il più a lungo possibile. Infatti, prima di effettuare la prima connessione a internet ai suoi server di comunicazione e di controllo, il malware Sunburst rimane inattivo per un lungo periodo, anche fino a 2 settimane, il che impedisce di individuare immediatamente questo comportamento nelle sandbox. Ciò spiega perché questo attacco sia stato così difficile da individuare.
Nelle fasi iniziali, il malware Sunburst comunica con il server C&C inviando richieste DNS (Domain Name System) codificate. Queste richieste contengono informazioni sul computer infetto, che aiutano l’attaccante a stabilire se sia conveniente dare seguito all’infezione.
Grazie al fatto che le richieste DNS generate da Sunburst codificano alcune delle informazioni del target e agli script disponibili pubblicamente per decodificare le richieste DNS, i ricercatori Kaspersky hanno creato i propri tool per analizzare ulteriormente oltre 1700 record DNS coinvolti nell’incidente. Questa analisi ha portato all’identificazione di oltre 1000 parti di nomi di target unici e 900 ID utente unici. Sebbene questo possa sembrare un numero elevato, gli attaccanti hanno dimostrato di essere interessati solo a obiettivi di alto profilo. Su oltre 1000 obiettivi, due di essi apparivano particolarmente interessanti anche se non potevano essere facilmente decodificati, una sorta di puzzle crittografico.
Dall’analisi è emerso che tre delle richieste DNS che hanno ricevuto risposte “CNAME”, che indica un obiettivo di alto valore, possono essere decodificate in due nomi di dominio che appartengono a un’organizzazione governativa e a una società di telecomunicazioni negli Stati Uniti.
Per ragioni etiche, Kaspersky non divulgherà i nomi dei domini.
L’azienda ha già provveduto a informare le due organizzazioni, offrendo il proprio supporto per rilevare ulteriori attività dannose.
“Nei giorni scorsi abbiamo controllato la nostra telemetria alla ricerca di tracce di questo attacco, annotato ulteriori rilevamenti e assicurandoci che i nostri utenti fossero protetti. Ad oggi, abbiamo identificato circa 100 clienti che hanno scaricato il pacchetto trojan contenente la backdoor Sunburst. Sono in corso ulteriori indagini e continueremo ad approfondire le nostre scoperte”, ha dichiarato Costin Raiu, capo del Global Research and Analysis Team di Kaspersky.
Per aiutare la community a identificare obiettivi potenzialmente interessanti per gli attaccanti, Kaspersky ha pubblicato il codice sorgente del decoder: https://github.com/2igosha/sunburst_dga
I clienti di Kaspersky possono richiedere maggiori dettagli e informazioni sulla mitigazione di Sunburst, UNC2452/DarkHalo contattando: intelreports@kaspersky.com
I prodotti Kaspersky rilevano i red team tool citati da FireEye in un repository GitHub. L’azienda ha aggiornato la logica di rilevamento in base alle regole Yara condivise, agli indicatori di compromissione (IOC), alle firme Snort e ad altri identificatori di threat data CVE all’interno dei propri prodotti.
Maggiori informazioni sono disponibili al seguente link di Securelist.com.
