بدافزار SolarWinds پیوندهای “کنجکاوی” به هکرهای روسی زبان دارد


جمجمه و استخوان های متقاطع سبک شده از یک و صفر ساخته شده است.

محققان روز دوشنبه گفتند ، بدافزار مورد استفاده برای هک مایکروسافت ، شرکت امنیتی FireEye و حداقل نیمی از آژانس های فدرال “شباهت های جالبی” با بدافزار موجود از حداقل سال 2015 دارد.

Sunburst نامی است که محققان امنیتی به بدافزاری گفته اند که هنگام نصب به روزرسانی مخرب برای Orion ، یک ابزار مدیریت شبکه که توسط SolarWinds مستقر در آستین ، تگزاس فروخته می شود ، حدود 18000 سازمان را آلوده کرد. مهاجمان ناشناخته ای که Sunburst را در Orion کاشتند از آن برای نصب بدافزار اضافی استفاده کردند که بیشتر به شبکه های مورد علاقه نفوذ می کند. با ابتلا به عفونت های وزارتخانه های دادگستری ، تجارت ، خزانه داری ، انرژی و امنیت ملی ، این حمله هک از بدترین موارد در تاریخ معاصر ایالات متحده است. آژانس امنیت ملی ، FBI و دو آژانس فدرال هفته گذشته گفتند که دولت روسیه “احتمالاً” در پشت این حمله قرار دارد ، حمله ای که حداکثر تا اکتبر سال 2019 آغاز شد. در حالی که چندین منبع خبری به نقل از مقامات ناشناس گفتند که این حملات کار عملی بود از SVR کرملین یا سرویس اطلاعات خارجی ، محققان همچنان به دنبال شواهدی هستند که به طور قطعی ادعاها را اثبات یا رد کند.

مشکوک

محققان شرکت امنیتی Palo Alto Networks در آن زمان گفتند ، روز دوشنبه ، محققان شرکت امنیتی مستقر در مسکو Kaspersky Lab “شباهت های عجیب” را در کد Sunburst و Kazuar گزارش کردند ، این یک بدافزار است که برای اولین بار در سال 2017 در Kazuar ظاهر شد. ، همراه با ابزارهای معروف Turla ، یکی از پیشرفته ترین گروه های هکر در جهان ، که اعضای آن به زبان روسی روان صحبت می کنند ، مورد استفاده قرار گرفت.

در گزارشی که روز دوشنبه منتشر شد ، محققان آزمایشگاههای کسپرسکی گفتند که آنها حداقل سه شباهت در کد و توابع Sunburst و Kazuar پیدا کرده اند. آن ها هستند:

  • الگوریتمی که برای تولید شناسه های منحصر به فرد قربانی استفاده می شود
  • الگوریتمی که باعث ایجاد “خواب” بدافزار و یا کند کردن اقدامات پس از آلودگی شبکه می شود
  • استفاده گسترده از الگوریتم هش FNV-1a برای پوشاندن کد.

“آن زمان ما مورد توجه قرار گرفتیم [out] محققان آزمایشگاه کسپرسکی ، گرگوری کوچرین ، ایگور کوزنتسوف و کوستین رایو نوشتند که هیچ یک از این قطعات کد 100٪ یکسان نیست. “با این حال ، به اصطلاح ، آنها تصادفات عجیبی هستند [the] حداقل. یک تصادف چندان غیرمعمول نخواهد بود ، دو تصادف بالاخره ابرو را بالا می برند ، در حالی که سه تصادف از این دست به نوعی برای ما مشکوک است. “

پست روز دوشنبه در مورد نتیجه گیری بیش از حد از شباهت ها هشدار می دهد. این می تواند به این معنی باشد که Sunburst توسط همان توسعه دهندگان پشت Kazuar نوشته شده است ، اما همچنین می تواند نتیجه تلاش برای گمراه کردن محققان در مورد ریشه واقعی حمله زنجیره تامین SolarWinds باشد ، چیزی که محققان آن را یک عملیات پرچم جعلی می نامند. .

گزینه های دیگر شامل توسعه دهنده ای است که روی Kazuar کار کرده و بعداً در گروه Sunburst کار کرده است ، توسعه دهندگان Sunburst به مهندسی Kazuar مراجعه می کنند و از آن به عنوان الهام استفاده می کنند یا توسعه دهندگان Kazuar و Sunburst که بدافزار خود را از همان منبع می گیرند. .

محققان آزمایشگاه کسپرسکی نوشتند:

در حال حاضر نمی دانیم کدام یک از این گزینه ها صحیح است. اگرچه ممکن است کازوار و سان بورست با هم رابطه داشته باشند ، اما ماهیت این رابطه هنوز مشخص نیست. تجزیه و تحلیل بیشتر ممکن است شواهدی را برای تأیید یک یا چند مورد از این نکات ارائه دهد. در عین حال ، این احتمال نیز وجود دارد که توسعه دهندگان Sunburst واقعاً در سیستم عامل خود خوب بوده و اشتباه نکرده باشند ، و این اتصال یک پرچم دروغین پیچیده است. در هر صورت ، این همپوشانی برای مدافعان تغییر چندانی نمی کند. حملات زنجیره تأمین یکی از پیچیده ترین انواع حملات امروزی است و در گذشته توسط گروههای APT مانند Winnti / Barium / APT41 و گروههای مختلف جرایم اینترنتی با موفقیت مورد استفاده قرار گرفته است.

مقامات و محققان فدرال گفتند که درک کامل تأثیرات یک ماهه هک ممکن است ماه ها به طول انجامد. در پست روز دوشنبه از محققان دیگر خواسته شد تا شباهت های بیشتری را درباره اینکه چه کسی در پشت این حملات قرار دارد ، تجزیه و تحلیل کنند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>