El backdoor Tomiris sugiere nueva actividad del actor de amenazas detrás de Sunburst

Mientras investigaban una amenaza persistente avanzada (APT) aún desconocida, los analistas de Kaspersky dieron con un nuevo malware que contenía varios atributos que lo conectan potencialmente con DarkHalo, el actor de amenaza detrás del ataque Sunburst, considerado uno de los incidentes de seguridad de la cadena de suministro de mayor impacto de los últimos años.

El incidente de seguridad Sunburst saltó a los titulares de los medios el pasado mes de diciembre de 2020: el actor de amenaza DarkHalo comprometió a un proveedor de software empresarial muy utilizado y utilizó su infraestructura durante mucho tiempo para distribuir software espía bajo la apariencia de actualizaciones de software legítimas. Tras el revuelo mediático y una extensa caza por parte de la comunidad de seguridad, el actor pareció pasar desapercebido. Después de Sunburst, no hubo grandes descubrimientos de incidentes que se le pudieran atribuir: parecía que la APT DarkHalo se había desconectado. Sin embargo, los resultados de una reciente investigación realizada por el Equipo de Investigación y Análisis Global de Kaspersky (GReAT) muestran que quizá no sea así.  

En junio de 2021, más de seis meses después de que DarkHalo pareciera haber desaparecido, los investigadores de Kaspersky encontraron rastros de un exitoso ataque de secuestro de DNS contra varias organizaciones gubernamentales del mismo país. El secuestro de DNS es un tipo de ataque malicioso en el que un nombre de dominio (utilizado para conectar la dirección URL de un sitio web con la dirección IP del servidor en el que se aloja el sitio web) se modifica, de forma que redirige el tráfico de red a un servidor controlado por el atacante. En el caso que descubrió Kaspersky, los objetivos del ataque intentaban acceder a la interfaz web de un servicio de correo electrónico corporativo, pero eran redirigidos a una copia falsa de esa interfaz web y luego engañados para que descargaran una actualización de software malicioso. Siguiendo el rastro de los atacantes, los investigadores de Kaspersky recuperaron la "actualización" y descubrieron que desplegaba un backdoor desconocido hasta entonces: Tomiris.

El análisis posterior demostró que el objetivo principal del backdoor era introducirse en el sistema atacado y descargar otros componentes maliciosos. Estos últimos, por desgracia, no se identificaron durante la investigación; sin embargo, se hizo otra observación importante: el backdoor Tomiris resultó ser sospechosamente similar a Sunshuttle, el malware desplegado en el ataque de Sunburst.

La lista de similitudes consiste, entre otros aspectos, en lo siguiente:

• Al igual que Sunshuttle, Tomiris fue desarrollado en el lenguaje de programación Go
• Cada puerta trasera utiliza un único esquema de cifrado/ofuscación para codificar tanto las configuraciones como el tráfico de red
• Ambos se basan en tareas programadas para la persistencia, utilizan la aleatoriedad y los retrasos para ocultar sus actividades
• El flujo de trabajo de los dos programas, en particular la forma en que las características se distribuyen en las funciones se parece lo suficiente como para que los analistas de Kaspersky sugieran que podría ser indicativo de prácticas de desarrollo compartidas
• Se han encontrado errores en inglés en las cadenas de Tomiris ('isRunned') y Sunshuttle ('EXECED' en lugar de 'executed'), lo que apunta a que ambos programas maliciosos han sido creados por personas que no hablan este idioma de forma nativa - se ha reconocido ampliamente que el actor de DarkHalo es de habla rusa
• Por último, el backdoor Tomiris se descubrió en redes en las que otras máquinas estaban infectadas con Kazuar, puerta trasera conocida por sus solapamientos de código del backdoor Sunburst.

"Ninguno de estos objetos, tomados individualmente, es suficiente para vincular Tomiris y Sunshuttle con suficiente confianza. Somos conscientes de que varios de estos datos podrían ser accidentales, pero aun así creemos que, en conjunto, al menos sugieren la posibilidad de una autoría común o de prácticas de desarrollo compartidas", afirma Pierre Delcher, investigador de seguridad de Kaspersky.

"Si nuestra intuición de que Tomiris y Sunshuttle están conectados es correcta, arrojaría nueva luz sobre la forma en que los actores de amenazas reconstruyen sus capacidades después de ser atrapados. Nos gustaría animar a la comunidad de inteligencia de amenazas a reproducir esta investigación y aportar segundas opiniones sobre las similitudes que descubrimos entre Sunshuttle y Tomiris", añade Ivan Kwiatkowski, investigador de seguridad de Kaspersky.

Para más información sobre la conexión entre Tomiris y el ataque Sunburst, lea el blog Securelist.

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es