Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igen
SolarWinds-hacket ramte overskrifterne i december 2020, og det blev hurtigt klart, at én af de malware-typer, der blev brugt, var Sunburst fra hackergruppen DarkHalo. Da spotlyset ramte hackergruppen, lagde de den tilsyneladende i dvale; den gik i hvert fald offline. Nye undersøgelser udført af Kasperskys Global Research and Analysis Team, GReAT, viser nu, at de måske er i gang igen. I juni 2021, mere end seks måneder efter DarkHalo gik offline, fandt Kaspersky spor efter et vellykket DNS-kapringsangreb mod flere statslige organisationer. DNS-hijacking er en type ondsindet angreb, hvor et domænenavn (der bruges til at forbinde URL-adressen på et websted med IP-adressen på den server, hvor webstedet er hostet) ændres, så netværkstrafikken omdirigeres til en server, der er kontrolleret af hackerne. Herfra forsøgte medarbejdere i de statslige organisationer at få adgang til web-interfacet til virksomhedens e-mailtjeneste, men blev omdirigeret til en falsk kopi af web-interfacet og derefter narret til at downloade en ondsindet softwareopdatering. Kasperskys it-sikkerhedsefterforskere har nu fundet, at denne “opdatering” indeholder en hidtil ukendt bagdør, som de har navngivet Tomiris. Tomiris-bagdøren ligner mistænkeligt meget en af de andre malwaretyper, der også blev brugt i SolarWinds-hacket, Sunshuttle. De forskellige elementer, der går igen i både Tomiris-bagdøren og Sunshuttle kan være tilfældige, men sammen antyder de et muligt fælles ophav eller fælles udviklingspraksis. Pierre Delcher, it-sikkerhedsefterforsker hos Kaspersky Hvis de to er forbundet, kaster det nyt lys over den måde, som hackergrupper genopbygger deres forretning på. Vi vil derfor gerne opfordre andre it-sikkerhedsresearchere til at reproducere vores efterforskning. Ivan Kwiatkowski, …. (læs mere her)