Backdoor Tomiris - Phát hiện mới về hoạt động của kẻ đứng sau cuộc tấn công Sunburst

Sau khi bị giới truyền thông lên tiếng và sự săn lùng ráo riết của cộng đồng an ninh, kẻ tấn công dường như đã lọt vào tầm ngắm. Sau Sunburst, không có phát hiện lớn nào về các sự cố liên quan đến mối đe dọa này, có vẻ như APT DarkHalo đã “offline”. Tuy nhiên, kết quả nghiên cứu gần đây do Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky thực hiện, cho thấy: điều này có thể không đúng.

Tháng 6/2021, hơn 6 tháng sau khi DarkHalo ẩn mình, các nhà nghiên cứu tại Kaspersky đã tìm thấy dấu vết của một cuộc tấn công chiếm quyền điều khiển DNS thành công chống lại một số tổ chức. Đánh cắp DNS là một loại tấn công độc hại, trong đó tên miền (được sử dụng để kết nối địa chỉ URL của trang web với địa chỉ IP của máy chủ lưu trữ trang web) được sửa đổi theo cách định tuyến lại lưu lượng truy cập mạng đến máy chủ của kẻ tấn công. Ở trường hợp Kaspersky điều tra được, các mục tiêu của cuộc tấn công đang cố gắng truy cập web của dịch vụ email công ty nhưng bị chuyển hướng đến bản sao giả mạo, rồi bị lừa tải xuống bản cập nhật phần mềm độc hại. Theo dõi đường đi của những kẻ tấn công, các nhà nghiên cứu của Kaspersky đã truy xuất “bản cập nhật” và phát hiện ra rằng: Nó đã triển khai một “cửa sau” (backdoor) chưa từng biết trước đây, đó là Tomiris.

Phân tích sâu hơn cho thấy: Mục đích chính của backdoor là thiết lập vị trí trong hệ thống bị tấn công và tải xuống các thành phần độc hại khác. Theo nhận xét của Kaspersky, backdoor Tomiris giống với Sunshuttle một cách đáng ngờ, phần mềm độc hại được triển khai là kết quả của cuộc tấn công Sunburst khét tiếng.

Cũng theo Kaspersky, những điểm tương đồng được phát hiện tính đến thời điểm hiện tại, gồm: Tương tự Sunshuttle (Tomiris được phát triển bằng ngôn ngữ lập trình Go); mỗi backdoor sử dụng một phương thức mã hóa để thay đổi cấu hình và lưu lượng mạng; cả hai backdoor đều hoạt động theo các nhiệm vụ đã lên lịch để hoạt động lâu dài, sử dụng hàm random và sleep delay để ẩn mình.

Ngoài ra, quy trình làm việc chung của hai chương trình, đặc biệt là cách các tính năng được phân phối thành các chức năng, trông giống nhau đến mức các nhà phân tích của Kaspersky cho rằng: Chúng có thể là dấu hiệu của các phương pháp phát triển được chia sẻ để dùng chung.

Bên cạnh đó, các lỗi tiếng Anh được tìm thấy trong cả chuỗi Tomiris (isRunned) và Sunshuttle (execed thay vì execute). Điều đó có thể dẫn đến giả thuyết là cả hai chương trình độc hại được tạo ra bởi những người không nói tiếng Anh, điều được thừa nhận rộng rãi rằng kẻ tấn công DarkHalo nói tiếng Nga. Tomiris đã được phát hiện trong các mạng nơi các máy khác bị nhiễm Kazuar, một backdoor có mã trùng lặp với Sunburst.

Pierre Delcher - nhà nghiên cứu bảo mật tại Kaspersky, cho biết: “Các điểm nêu trên nếu chỉ xét riêng lẻ thì không thể nhận ra mối liên hệ giữa Tomiris và Sunshuttle. Một số điểm có thể là ngẫu nhiên, nhưng có thể khi kết hợp chúng lại với nhau thì ít nhất chúng cũng cho thấy: khả năng có cùng kẻ đứng sau hoặc được phát triển bằng cách giống nhau”.

Một nhà nghiên cứu bảo mật khác cũng tại Kaspersky, là Ivan Kwiatkowski chia sẻ: “Nếu phỏng đoán của chúng tôi rằng Tomiris và Sunshuttle có liên hệ với nhau là chính xác, thì điều đó sẽ làm sáng tỏ cách các tác nhân đe dọa xây dựng lại năng lực sau khi bị bắt. Chúng tôi muốn khuyến khích cộng đồng tình báo về mối đe dọa tái thực hiện nghiên cứu này và đưa ra nhận định về những điểm tương đồng mà chúng tôi đã phát hiện ra giữa Sunshuttle và Tomiris”.