Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igen
Hjem SIKKERHED Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igen

Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igen

Af Redaktionen

Under efterforskningen af en, endnu ukendt, avanceret vedvarende trussel (APT) har Kasperskys it-sikkerhedsefterforskere fundet en ny malware, der potentielt kan forbindes med hackergruppen DarkHalo, som stod bag Sunburst-malwaren, der blandt flere blev brugt i SolarWinds-hacket.

SolarWinds-hacket ramte overskrifterne i december 2020, og det blev hurtigt klart, at én af de malware-typer, der blev brugt, var Sunburst fra hackergruppen DarkHalo.

Da spotlyset ramte hackergruppen, lagde de den tilsyneladende i dvale; den gik i hvert fald offline. Nye undersøgelser udført af Kasperskys Global Research and Analysis Team, GReAT, viser nu, at de måske er i gang igen.

I juni 2021, mere end seks måneder efter DarkHalo gik offline, fandt Kaspersky spor efter et vellykket DNS-kapringsangreb mod flere statslige organisationer. DNS-hijacking er en type ondsindet angreb, hvor et domænenavn (der bruges til at forbinde URL-adressen på et websted med IP-adressen på den server, hvor webstedet er hostet) ændres, så netværkstrafikken omdirigeres til en server, der er kontrolleret af hackerne. Herfra forsøgte medarbejdere i de statslige organisationer at få adgang til web-interfacet til virksomhedens e-mailtjeneste, men blev omdirigeret til en falsk kopi af web-interfacet og derefter narret til at downloade en ondsindet softwareopdatering.

Nyopdaget bagdør antyder, at hackergruppen bag Sunburst-malwaren er i gang igenKasperskys it-sikkerhedsefterforskere har nu fundet, at denne “opdatering” indeholder en hidtil ukendt bagdør, som de har navngivet Tomiris. Tomiris-bagdøren ligner mistænkeligt meget en af de andre malwaretyper, der også blev brugt i SolarWinds-hacket, Sunshuttle.

“De forskellige elementer, der går igen i både Tomiris-bagdøren og Sunshuttle kan være tilfældige, men sammen antyder de et muligt fælles ophav eller fælles udviklingspraksis,” siger Pierre Delcher, der er it-sikkerhedsefterforsker hos Kaspersky.

“Hvis de to er forbundet, kaster det nyt lys over den måde, som hackergrupper genopbygger deres forretning på. Vi vil derfor gerne opfordre andre it-sikkerhedsresearchere til at reproducere vores efterforskning,” tilføjer Ivan Kwiatkowski, it-sikkerhedsefterforsker hos Kaspersky.

Relaterede artikler

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>