DarkHalo podría estar todavía activo a través de un backdoor llamado "Tomiris"

Guardar

DNS
DNS

En diciembre del año pasado los medios se hicieron eco del incidente de seguridad Sunburst. El actor de la amenaza persistente avanzada (APT) DarkHalo había comprometido a un proveedor de software empresarial muy utilizado y se sirvió de su infraestructura durante un buen período de tiempo para distribuir software espía bajo la apariencia de actualizaciones de software legítimas.

Sin embargo, después de la repercusión en los medios y una búsqueda intensiva de la comunidad de seguridad, DarkHalo parecía haberse hecho invisible o se había desconectado. Tras Sunburst, no se identificaron grandes incidentes que se pudieran vincular con él.

Ahora Kaspersky asegura que es posible que la amenaza todavía esté latente. Su Equipo de Investigación y Análisis Global (GReAT) halló el pasado mes de junio rastros de un exitoso ataque de secuestro de DNS contra varias organizaciones gubernamentales del mismo país.

En el caso al que tuvo acceso la compañía rusa, los objetivos del ataque intentaban acceder a la interfaz web de un servicio de email corporativo, pero eran redirigidos a una copia falsa de esa interfaz web y luego engañados para que descargaran una actualización de software malicioso. Siguiendo el rastro de los atacantes, los investigadores de Kaspersky recuperaron la 'actualización' y descubrieron que desplegaba un backdoor desconocido hasta entonces: Tomiris.

Este backdoor tendría como objetivo introducirse en el sistema atacado y descargar otros componentes maliciosos. Kaspesrsky pudo notar como el backdoor Tomiris resultaba sospechosamente similar a Sunshuttle, el malware desplegado en el ataque de Sunburst.

Elementos compartidos por Tomiris y Sunshuttle

La empresa ha encontrado varias similitudes que saltan a la vista. Como Sunshuttle, Tomiris se había desarrollado en el lenguaje de programación Go. Ambos se basan en tareas programadas para la persistencia, usan la aletoriedad y los retrasos para ocultar sus actividades y tienen un flujo de trabajo muy parecido, lo que indicaría prácticas de desarrollo compartidas.

Además, Tomiris también muestra algunos errores de inglés en sus cadenas, lo que lleva a pensar que no ha sido creado por personas que hablen este idioma de manera nativa (el actor de DarkHalo se vincula al habla rusa). Por último, el backdoor Tomiris se descubrió en redes en las que otras máquinas estaban infectadas con Kazuar, puerta trasera conocida por sus solapamientos de código del backdoor Sunburst.

"Ninguno de estos objetos, tomados individualmente, es suficiente para vincular Tomiris y Sunshuttle con suficiente confianza. Somos conscientes de que varios de estos datos podrían ser accidentales, pero aun así creemos que, en conjunto, al menos sugieren la posibilidad de una autoría común o de prácticas de desarrollo compartidas", comenta en un comunicado de prensa Pierre Delcher, investigador de seguridad de Kaspersky.

"Si nuestra intuición de que Tomiris y Sunshuttle están conectados es correcta, arrojaría nueva luz sobre la forma en que los actores de amenazas reconstruyen sus capacidades después de ser atrapados. Nos gustaría animar a la comunidad de inteligencia de amenazas a reproducir esta investigación y aportar segundas opiniones sobre las similitudes que descubrimos entre Sunshuttle y Tomiris", añade Ivan Kwiatkowski, investigador de seguridad de la compañía rusa.