La porte dérobée Tomiris suggérerait que le groupe de hackers à l’origine de la cyberattaque Sunburst est de nouveau actif

La porte dérobée Tomiris suggérerait que le groupe de hackers à l’origine de la cyberattaque Sunburst est de nouveau actif

En enquêtant sur une attaque persistante avancée (APT) encore inconnue, les chercheurs de Kaspersky ont découvert un nouveau malware qui contient plusieurs attributs pouvant être mis en relation avec DarkHalo, le groupe cybercriminel à l’origine de la cyberattaque Sunburst. Celle-ci est considérée comme l’une des attaques supply-chain les plus dévastatrices de ces des dernières années.

L’affaire remonte à décembre 2020 : le groupe cybercriminel DarkHalo a infecté le réseau d’un éditeur de logiciels d’entreprises très utilisés puis a longuement exploité son infrastructure pour propager des spywares en les faisant passer pour des mises à jour logicielles légitimes. Face à l’emballement médiatique et à la traque sans relâche menée par les acteurs de la cybersécurité, DarkHalo a fait profil bas. Après Sunburst, aucune autre attaque notable n’a été imputée à ce groupe, comme si l’APT DarkHalo avait disparu des radars. Pourtant, les résultats des dernières études conduites par la Global Research and Analysis Team de Kaspersky et présentées lors du Security Analyst Summit indiquent que cela n’est peut-être pas le cas.

En juin 2021, plus de six mois après la « disparition » de DarkHalo, les chercheurs de Kaspersky ont retrouvé les traces d’une vague d’attaques DNS perpétrées contre plusieurs administrations dans le même pays. Les attaques DNS consistent à modifier le nom de domaine (qui sert à connecter l’URL d’un site avec l’adresse IP du serveur qui héberge le site en question) de façon à dérouter le trafic vers un serveur contrôlé par les hackers. Dans le cas détecté par Kaspersky, les victimes de l’attaque essayaient d’accéder à l’interface web d’un service de messagerie électronique pour entreprises. Au lieu de cela, ils étaient redirigés vers une copie factice de cette interface, puis invités à télécharger une mise à jour logicielle malveillante. En suivant la trace des attaquants, les chercheurs de Kaspersky ont retrouvé la mise à jour factice et découvert que celle-ci générait une porte dérobée encore inconnue à ce jour, baptisée Tomiris.

Des analyses plus poussées ont montré que cette porte dérobée visait principalement à établir un point d’ancrage à l’intérieur du système ciblé pour ensuite télécharger d’autres composants malveillants. Malheureusement, ces derniers n’ont pas pu être identifiés, mais les chercheurs ont fait une découverte importante en observant que la porte dérobée Tomiris ressemblait étrangement à Sunshuttle, la porte dérobée utilisée dans le cadre de l’attaque Sunburst.

Voici une liste non exhaustive des similitudes entre les deux malwares :

  • À l’instar de Sunshuttle, Tomiris a été développé avec le langage de programmation Go
  • Ces deux portes dérobées utilisent un même dispositif de chiffrage/obfuscation pour encoder les configurations et le trafic réseau
  • Chacune s’appuie sur des tâches programmées à des fins de persistance et adopte un fonctionnement aléatoire avec des mises en sommeil pour dissimuler ses activités
  • Globalement, le workflow des deux programmes, et notamment le mode de distribution des différentes fonctions, paraît suffisamment proche pour que les analystes de Kaspersky suggèrent qu’ils aient pu profiter des mêmes méthodes de développement
  • Des fautes d’anglais apparaissent dans certaines lignes de code de Tomiris (« isRunned ») et de Sunshuttle (« EXECED » au lieu de « executed »), ce qui suggère que ces deux malwares ont été conçus par des individus qui ne sont pas des natifs anglophones. Or, il est de notoriété publique que le groupe DarkHalo est russophone.
  • Enfin, Tomiris a été découverte dans des réseaux où d’autres machines avaient été infectées par Kazuar – une porte dérobée connue pour ses lignes de code communes avec celle de l’attaque Sunburst.

« Pris indépendamment, aucun de ces éléments ne suffirait à relier Tomiris et Sunshuttle avec certitude. Si nous admettons que certains de ces éléments peuvent être fortuits, leur concomitance suggère néanmoins qu’ils pourraient avoir été conçus par le même groupe de hackers, ou ayant recours à des méthodes de développement identiques », explique Pierre Delcher, chercheur en cybersécurité chez Kaspersky.

« S’il s’avère en effet que Tomiris et Sunshuttle ont un lien, cela nous permettrait de tirer des enseignements précieux sur la manière dont les cybercriminels régénèrent leurs capacités après avoir été démasqués. Nous invitons les autres acteurs de la cybersécurité à reprendre ces recherches de leur côté et à donner leur opinion sur les similitudes que nous avons décelées entre Sunshuttle et Tomiris », ajoute Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky.

Votre commentaire