SolarWinds Hack potencialmente relacionado con Turla APT - Calendae | Informática, Electrónica, CMS, Ciberseguridad

SolarWinds Hack potencialmente relacionado con Turla APT

Hola y mil gracias por leerme. Te habla Eduardo Arroyo y hoy hablaremos sobre SolarWinds Hack potencialmente relacionado con Turla APT

SolarWinds Hack potencialmente relacionado con Turla APT

Los investigadores identificaron una superposición de códigos significativa entre la puerta trasera Sunburst y un arma Turla conocida.

Los nuevos detalles sobre la puerta trasera Sunburst utilizada en el extenso ataque de la cadena de suministro de SolarWinds lo vinculan potencialmente a actividades previamente conocidas del grupo de amenazas persistentes avanzadas (APT) de Turla.

Los investigadores de Kaspersky han descubierto varias similitudes en el código entre Sunburst y la puerta trasera de Kazuar. Kazuar es un malware escrito con .NET framework que fue informado por primera vez por Palo Alto en 2017 (aunque su desarrollo se remonta a 2015).

Según Kaspersky, se ha detectado como parte de ataques de ciberespionaje en todo el mundo. Los investigadores dijeron que se ha utilizado constantemente junto con las conocidas herramientas Turla durante múltiples infracciones en los últimos tres años. Turla (también conocido como Snake, Venomous Bear, Waterbug o Uroboros), es un actor de amenazas de habla rusa conocido desde 2014, pero cuyas raíces se remontan a 2004 y antes, según una investigación previa de Kaspersky.

Las características superpuestas entre Sunburst y Kazuar incluyen un algoritmo inactivo; el uso extensivo del hash FNV-1a; y el algoritmo utilizado para generar identificaciones únicas (UID) para las víctimas.

«Después de que el malware Sunburst se implementó por primera vez en febrero de 2020, Kazuar ha seguido evolucionando y las variantes posteriores de 2020 son incluso más similares en algunos aspectos a Sunburst», señaló la compañía en un análisis publicado el lunes. «En general, durante los años de evolución de Kazuar, los expertos han observado un desarrollo continuo, en el que se han agregado características importantes que se asemejan a Sunburst».

El informe agregó que aunque ninguno de estos algoritmos o implementaciones son únicos, la presencia de tres superposiciones distintas llamó la atención de los investigadores: «Una coincidencia no sería tan inusual, dos coincidencias definitivamente levantarían una ceja, mientras que tres de estas coincidencias son algo sospechoso de nosotros «.

Dicho esto, los investigadores advirtieron que los fragmentos de código no son completamente idénticos, lo que deja varias razones posibles para la superposición.

«Aunque estas similitudes entre Kazuar y Sunburst son notables, podría haber muchas razones para su existencia, incluido Sunburst desarrollado por el propio grupo de Kazuar. [Turla], Los desarrolladores de Sunburst que utilizan Kazuar como inspiración, un desarrollador de Kazuar que se incorpora al equipo Sunburst o ambos grupos detrás de Sunburst y Kazuar que obtuvieron su malware de la misma fuente «, según el informe.

El malware a menudo utiliza una función de repetición, en la que permanece inactivo durante un período de tiempo determinado después de la instalación o de la actividad intermedia para evitar los controles de seguridad y hacer que el tráfico de la red sea menos obvio.

Tanto Kazuar como Sunburst han implementado tal retraso entre las conexiones a sus servidores de comando y control (C2), de formas muy similares.

«Kazuar calcula el tiempo de descanso entre dos conexiones al servidor C2 de la siguiente manera: toma dos marcas de tiempo, el tiempo de suspensión mínimo y el tiempo de suspensión máximo, y calcula el período de espera con [this] fórmula: generado_tiempo_dormir = dormir_timemin + x (sleep_timemax – sleep_timemin). «

En la fórmula, «x» es un número aleatorio entre 0 y 1 obtenido al llamar al método NextDouble, mientras que «sleep_timemin» y «sleeping_timemax» se obtienen de la configuración C2. Sunburst utiliza exactamente la misma fórmula para calcular el tiempo de sueño, solo que con un código menos complejo.

«De forma predeterminada, Kazuar elige un período de sueño aleatorio de entre dos y cuatro semanas, mientras que Sunburst espera de 12 a 14 días», según el análisis, que también señaló que períodos de sueño tan largos en las conexiones C2 no son muchos. común para el malware APT típico. «Sunburst, como Kazuar, implementa un comando que permite a los operadores cambiar el tiempo de espera entre dos conexiones C2».

Sunburst y Kazuar utilizan ampliamente el algoritmo hash FNV-1a en todo su código, anotaron los investigadores de Kaspersky.

El shellcode de Kazuar ha utilizado un algoritmo de hash FNV-1a de 32 bits modificado desde 2015 para resolver API, dijeron los investigadores, mientras que una versión modificada de 64 bits de FNV-1a se implementó en las versiones de Kazuar encontradas en 2020. Este último agrega un paso adicional: después de calcular el hash, se XOR con una constante codificada. Este cambio también se ve en el algoritmo hash FNV-1a de 64 bits de Sunburst, señalaron los investigadores, aunque la constante en sí es diferente entre Kazuar y Sunburst.

«Este algoritmo de hash no es exclusivo de Kazuar y Sunburst», dijeron los investigadores. «Sin embargo, proporciona un punto de partida interesante para encontrar más similitudes».

Para generar cadenas únicas en diferentes víctimas, como identificadores de clientes, exclusiones mutuas o nombres de archivo, tanto Kazuar como Sunburst utilizan un algoritmo hash diferente al de su hash FNV-1a, que de otro modo sería omnipresente: una combinación de MD5 + XOR.

Kazuar utiliza un algoritmo que acepta una cadena como entrada, según Kaspersky. Para derivar una cadena única, la puerta trasera obtiene el hash MD5 de la cadena y luego lo XOR con una «semilla» única de cuatro bytes de la máquina. La semilla se obtiene recuperando el número de serie del volumen en el que está instalado el sistema operativo.

«También se puede encontrar un algoritmo MD5 + XOR en Sunburst», explicaron los investigadores. «Sin embargo, en lugar del número de serie del volumen, utiliza un conjunto diferente de información como semilla única de la máquina, lo codifica con MD5, luego lo XOR junto con las dos mitades del hash [into an eight-bytes result]. «

Este conjunto de información incluye la primera dirección MAC del adaptador, el dominio de la computadora y el GUID de la máquina.

Se sabe que el extenso ataque de espionaje de SolarWinds ha afectado hasta a 10 departamentos del gobierno federal, Microsoft, FireEye y docenas de otros hasta ahora.

Sunburst, también conocido como Solorigate, es el malware utilizado como punta de lanza en la campaña, en la que los oponentes pudieron usar la plataforma de administración de red Orion de SolarWinds para infectar objetivos. Se ha difundido a través de actualizaciones de productos troyanos a casi 18.000 organizaciones en todo el mundo, desde hace nueve meses. Con Sunburst incorporado, los atacantes han podido elegir en qué organizaciones penetrar más.

Según Kaspersky, una mayor explotación por parte del grupo de amenazas persistentes avanzadas desconocidas (APT), denominado UNC2452 o DarkHalo, implica la instalación de más malware, la instalación de mecanismos de persistencia y la filtración de datos.

¿Ese grupo de amenazas es realmente Turla? «Es una plataforma compleja de ciberataques centrada principalmente en objetivos diplomáticos y relacionados con el gobierno, particularmente en el Medio Oriente, Asia Central y el Lejano Oriente, Europa, América del Norte y del Sur y naciones del antiguo bloque soviético», según el empresa.

El grupo también es conocido por su conjunto de herramientas espías personalizadas en constante desarrollo. Por ejemplo, en noviembre, Kazuar agregó nuevas funciones de espionaje, incluido un registrador de teclas y un ladrón de contraseñas que puede recuperar datos del historial del navegador, cookies, credenciales del servidor proxy y, lo más importante, contraseñas de los navegadores de Internet. Filezilla, Outlook, Git y WinSCP. También obtiene las credenciales de la bóveda.

Los investigadores de Kaspersky advirtieron que si bien la evidencia de la colaboración es convincente, los vínculos aparentes entre Turla y Sunburst deben tomarse con un grano de sal. Por ejemplo, existe la posibilidad de que las banderas falsas de Kazuar se introdujeran deliberadamente en Sunburst, una táctica notoriamente vista en el ataque del limpiaparabrisas del Destructor Olímpico.

«Se publicó una muestra de Kazuar antes de que se escribiera Sunburst, que contenía la función hash modificada de 64 bits, y pasó desapercibida para todos menos para los desarrolladores de Sunburst», señalaron los investigadores. “En este caso, los desarrolladores de Sunburst tenían que estar al tanto de las nuevas variantes de Kazuar. Obviamente, el seguimiento de todos los cambios en el código desconocido es una tarea bastante difícil y tediosa. [since] Los desarrolladores de Kazuar cambian constantemente su código y métodos de empaquetado, lo que dificulta la detección de la puerta trasera con las reglas de YARA. [and] Las muestras de Kazuar (especialmente las nuevas) aparecen con bastante poca frecuencia en VirusTotal. «

Dicho esto, se introdujo XOR adicional después del hash en las variantes de Kazuar 2020 después de que apareció en Sunburst, dijeron los investigadores.

«La conexión identificada no revela quién estuvo detrás del ataque SolarWinds, sin embargo, proporciona información adicional que puede ayudar a los investigadores a avanzar con esta investigación», dijo Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky, en una declaración a los medios. “A juzgar por la experiencia pasada, por ejemplo, mirando hacia atrás en el ataque de WannaCry, hubo muy pocos hechos en los primeros días que lo vincularan con el grupo Lazarus. Con el tiempo, ha aparecido más evidencia que nos ha permitido a nosotros y a otros conectarlos con gran confianza. La investigación adicional sobre este tema será crucial para conectar los puntos «.

  • SolarWinds se enfrenta a Chris Krebs y Alex Stamos en Wake of Attack
  • Microsoft ha estado involucrado en el esfuerzo de espionaje de SolarWinds, uniéndose a agencias federales
  • Los secretos de C2 de Sunburst revelan a las víctimas de SolarWinds en la segunda etapa
  • La Agencia de Armas Nucleares ha experimentado ciberataques cada vez mayores
  • SolarWinds Perfect Storm: contraseña predeterminada, acceso a ventas y más
  • DHS entre los afectados en sofisticados ciberataques por adversarios extranjeros
  • FireEye Cyberattack compromete las herramientas de seguridad del equipo rojo

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *