Zaloguj się lub włącz wersję mobilną
StartDodaj artykułMoje artykułyMoje kontoSzukaj artykułówPomocKontakt

Kategorie

Strona PDFStrona HTML

Kaspersky publikuje wstępną analizę szkodliwego programu

Kaspersky publikuje wstępną analizę szkodliwego programu



ID artykułu: 60945 / 2264
URL: http://www.publikuj.org/60945

Kilka dni temu pojawiły się informacje o nowo wykrytym ataku na łańcuch dostawy. Niezidentyfikowani cyberprzestępcy, określani jako UNC2452 lub DarkHalo, umieścili w oprogramowaniu SolarWinds Orion backdoora, który został pobrany przez ponad 18 000 klientów tego rozwiązania. Badacze z firmy Kaspersky przeprowadzili analizę tego backdoora, która ujawniła interesujące i dość unikatowe funkcje. Zdaniem ekspertów atak na łańcuch dostawy został zaprojektowany bardzo profesjonalnie, a wyraźnym celem cyberprzestępców było pozostanie w ukryciu przez jak najdłuższy czas. Na przykład przed pierwszym użyciem internetu do nawiązania połączenia z serwerem cyberprzestępczym szkodliwy program Sunburst pozostaje w uśpieniu przez długi czas, nawet przez dwa tygodnie, co uniemożliwia łatwe wykrycie jego zachowania przy użyciu piaskownicy. Tłumaczy to, dlaczego atak był tak trudny do zauważenia.

We wczesnych fazach ataku Sunburst komunikuje się z serwerem cyberprzestępczym poprzez wysyłanie zaszyfrowanych żądań DNS. Zawierają one informacje o zainfekowanym komputerze, by atakujący wiedzieli, czy warto dalej prowadzić operację.

Wykorzystując fakt, że żądania DNS generowane przez szkodliwy program Sunburst zawierają pewne informacje o potencjalnych ofiarach, oraz używając publicznie dostępnych skryptów do dekodowania takich żądań, badacze z firmy Kaspersky przygotowali własne narzędzia do dalszej analizy ponad 1 700 wpisów DNS związanych z omawianym incydentem. W ten sposób określono ponad 1 000 unikatowych nazw celów ataków i ponad 900 unikatowych identyfikatorów użytkowników. Liczby te mogą wydawać się całkiem duże, jednak wszystko wskazuje na to, że atakujący byli zainteresowani wyłącznie celami, które uważali za wartościowe.

W trakcie analizy trzy spośród żądań uznanych przez atakujących za wartościowe zostały zdekodowane przez badaczy do dwóch nazw domen należących do organizacji rządowej oraz firmy telekomunikacyjnej w Stanach Zjednoczonych. Ze względów etycznych badacze z firmy Kaspersky nie wymieniają tych nazw domen. Firma Kaspersky poinformowała już obydwie organizacje i zaoferowała pomoc w zidentyfikowaniu dalszej szkodliwej aktywności.

Ostatnie dni spędziliśmy na analizie naszych danych telemetrycznych w poszukiwaniu oznak tego ataku, projektowaniu dodatkowych mechanizmów wykrywania i upewnieniu się, że nasi klienci są należycie chronieni. Na chwilę obecną zidentyfikowaliśmy około stu klientów, którzy pobrali pakiet zawierający backdoora Sunburst. Prace dochodzeniowe trwają i będziemy informowali o naszych dalszych odkryciach powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Aby pomóc społeczności w identyfikowaniu kolejnych celów atakujących, badacze z firmy Kaspersky opublikowali kod źródłowy własnego dekodera: https://github.com/2igosha/sunburst_d ga.

Produkty firmy Kaspersky wykorzystują narzędzia wspomniane przez firmę FireEye w repozytorium serwisu GitHub. Kaspersky uaktualnił logikę wykrywania w swoich produktach w oparciu o udostępnione reguły Yara, wskaźniki włamania, sygnatury i inne dane dotyczące omawianych ataków.

Wyniki wstępnej analizy przeprowadzonej przez badaczy z firmy Kaspersky są dostępne na stronie https://r.kaspersky.pl/caXhc.

Dalsze szczegóły dotyczące szkodliwego oprogramowania Sunburst oraz UNC2452/DarkHalo są dostępne dla klientów usługi Kaspersky Intelligence Reporting (intelreports@kaspersky.com).< /p> Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: piotr.kup czyk@kaspersky.pl
Tel. 34 390 94 00

 Opcje
Aktywacja: 18/12/20 14:04, odsłony: 108
Słowa kluczowe: artykuły do przedruku internet i komputery, artykuły bezpieczeństwo, artykuły internet i komputery
 Zamknij Ta strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce, kliknij tutaj aby dowiedzieć się więcej.