Technologie » Internet
Kaspersky publikuje wstępną analizę szkodliwego programu Sunburst i udostępnia dekoder
 |
| Zobacz więcej zdjęć » |
Badacze z firmy Kaspersky przeprowadzili analizę tego backdoora, która ujawniła interesujące i dość unikatowe funkcje.
Zdaniem ekspertów atak na łańcuch dostawy został zaprojektowany bardzo profesjonalnie, a wyraźnym celem cyberprzestępców było pozostanie w ukryciu przez jak najdłuższy czas. Na przykład przed pierwszym użyciem internetu do nawiązania połączenia z serwerem cyberprzestępczym szkodliwy program Sunburst pozostaje w uśpieniu przez długi czas, nawet przez dwa tygodnie, co uniemożliwia łatwe wykrycie jego zachowania przy użyciu piaskownicy. Tłumaczy to, dlaczego atak był tak trudny do zauważenia.
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
We wczesnych fazach ataku Sunburst komunikuje się z serwerem cyberprzestępczym poprzez wysyłanie zaszyfrowanych żądań DNS. Zawierają one informacje o zainfekowanym komputerze, by atakujący wiedzieli, czy warto dalej prowadzić operację.
Wykorzystując fakt, że żądania DNS generowane przez szkodliwy program Sunburst zawierają pewne informacje o potencjalnych ofiarach, oraz używając publicznie dostępnych skryptów do dekodowania takich żądań, badacze z firmy Kaspersky przygotowali własne narzędzia do dalszej analizy ponad 1 700 wpisów DNS związanych z omawianym incydentem. W ten sposób określono ponad 1 000 unikatowych nazw celów ataków i ponad 900 unikatowych identyfikatorów użytkowników. Liczby te mogą wydawać się całkiem duże, jednak wszystko wskazuje na to, że atakujący byli zainteresowani wyłącznie celami, które uważali za wartościowe.
W trakcie analizy trzy spośród żądań uznanych przez atakujących za wartościowe zostały zdekodowane przez badaczy do dwóch nazw domen należących do organizacji rządowej oraz firmy telekomunikacyjnej w Stanach Zjednoczonych. Ze względów etycznych badacze z firmy Kaspersky nie wymieniają tych nazw domen. Firma Kaspersky poinformowała już obydwie organizacje i zaoferowała pomoc w zidentyfikowaniu dalszej szkodliwej aktywności.
Ostatnie dni spędziliśmy na analizie naszych danych telemetrycznych w poszukiwaniu oznak tego ataku, projektowaniu dodatkowych mechanizmów wykrywania i upewnieniu się, że nasi klienci są należycie chronieni. Na chwilę obecną zidentyfikowaliśmy około stu klientów, którzy pobrali pakiet zawierający backdoora Sunburst. Prace dochodzeniowe trwają i będziemy informowali o naszych dalszych odkryciach – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Aby pomóc społeczności w identyfikowaniu kolejnych celów atakujących, badacze z firmy Kaspersky opublikowali kod źródłowy własnego dekodera: https://github.com/2igosha/sunburst_dga.
Produkty firmy Kaspersky wykorzystują narzędzia wspomniane przez firmę FireEye w repozytorium serwisu GitHub. Kaspersky uaktualnił logikę wykrywania w swoich produktach w oparciu o udostępnione reguły Yara, wskaźniki włamania, sygnatury i inne dane dotyczące omawianych ataków.
Wyniki wstępnej analizy przeprowadzonej przez badaczy z firmy Kaspersky są dostępne na stronie https://r.kaspersky.pl/caXhc.
Dalsze szczegóły dotyczące szkodliwego oprogramowania Sunburst oraz UNC2452/DarkHalo są dostępne dla klientów usługi Kaspersky Intelligence Reporting (intelreports@kaspersky.com).
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.
Nadesłał:
Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl 
|
Znamy laureatów konkursu Design by Śliwka Nałęczowska 2025!
Komentarze (0)