Большой передел мира
246,485,784
499,891
|
DeC ( Профессионал ) |
| 11 янв 2021 20:50:54 |
SolarWinds
новая дискуссия Дискуссия 235
Почти месяц прошел с тех пор, как американцы из инфосек компании FireEye сообщили о вскрытии кибероперации Sunburst, в ходе которой неустановленная хакерская группа скомпрометировала американского разработчика ПО SolarWinds и засунула троян в его NMS Orion, который затем попал к тысячам клиентов. Эта киберкампания без сомнения претендует на звание года, а то и десятилетия (хотя тут нарисовался на днях другой кандидат, но об этом в конце).
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью — они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWind, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором было в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно завтра.
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью — они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWind, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором было в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно завтра.
ОТВЕТЫ (1)
|
Прерыватель ( Слушатель ) |
| 11 янв 2021 21:15:07 |
Цитата: DeC от 11.01.2021 20:50:54
JetBrains разработчики (достаточно крупные) интегрированных сред разработки для ряда популярных языков (PHP, JavaScript и других). Если их взломали, то можно предположить, что все, кто на тот момент были активными клиентами и получали обновления к их продуктам, оказались под ударом. Теоретически хакеры могли:
- получить таким образом доступ к исходным кодам всех проектов этих компаний. Это позволяет сделать их анализ на предмет наличия ошибок и подготовки инструментов для проведения атак на продукты этих компаний или их внутреннюю инфраструктуру собственной разработки
- динамически в момент сборки/деплоя (размещения на серверах) проекта внедрять вредоносный код, делающий продукты уязвимыми для заранее подготовленных хакерами инструментов
По глубине охвата это на один уровень больше чем атака на SolarWinds. Все клиенты JetBrains разрабатывают софт, все кто этот софт покупают под прицелом. Следующие уровни в порядке возрастания охвата: операционные системы, драйвера, БИОС, железо. Эти дадут больше систем под контроль, но много бесполезных. Атака на разработчиков сред разработки программ это очень серьёзно.