Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igen

Under efterforskningen af en, endnu ukendt, avanceret vedvarende trussel har Kasperskys it-sikkerhedsefterforskere fundet en ny malware, der potentielt kan forbindes med hackergruppen DarkHalo, som stod bag Sunburst-malwaren, der blandt flere blev brugt i SolarWinds-hacket

SolarWinds-hacket ramte overskrifterne i december 2020, og det blev hurtigt klart, at én af de malware-typer, der blev brugt, var Sunburst fra hackergruppen DarkHalo. Da spotlyset ramte hackergruppen, lagde de den tilsyneladende i dvale; den gik i hvert fald offline. Nye undersøgelser udført af Kasperskys Global Research and Analysis Team, GReAT, viser nu, at de måske er i gang igen.

I juni 2021, mere end seks måneder efter DarkHalo gik offline, fandt Kaspersky spor efter et vellykket DNS-kapringsangreb mod flere statslige organisationer. DNS-hijacking er en type ondsindet angreb, hvor et domænenavn (der bruges til at forbinde URL-adressen på et websted med IP-adressen på den server, hvor webstedet er hostet) ændres, så netværkstrafikken omdirigeres til en server, der er kontrolleret af hackerne. Herfra forsøgte medarbejdere i de statslige organisationer at få adgang til web-interfacet til virksomhedens e-mailtjeneste, men blev omdirigeret til en falsk kopi af web-interfacet og derefter narret til at downloade en ondsindet softwareopdatering.

Kasperskys it-sikkerhedsefterforskere har nu fundet, at denne “opdatering” indeholder en hidtil ukendt bagdør, som de har navngivet Tomiris. Tomiris-bagdøren ligner mistænkeligt meget en af de andre malwaretyper, der også blev brugt i SolarWinds-hacket, Sunshuttle.

De forskellige elementer, der går igen i både Tomiris-bagdøren og Sunshuttle kan være tilfældige, men sammen antyder de et muligt fælles ophav eller fælles udviklingspraksis.

Pierre Delcher, it-sikkerhedsefterforsker hos Kaspersky

Hvis de to er forbundet, kaster det nyt lys over den måde, som hackergrupper genopbygger deres forretning på. Vi vil derfor gerne opfordre andre it-sikkerhedsresearchere til at reproducere vores efterforskning.

Ivan Kwiatkowski, it-sikkerhedsefterforsker hos Kaspersky
About Lars Bennetzen 3837 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?