ИБ-специалисты продолжают изучать масштабную атаку на цепочку поставок, которой недавно подверглась компания SolarWinds и ее клиенты. Хотя «Лаборатория Касперского» формально не участвует в расследовании этого инцидента, вчера исследователи представили развернутый отчет, посвященный анализу использованной в атаке малвари Sunburst.

Напомню, что в декабре 2020 года стало известно, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов.

В результате среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности. Основную информацию об этой масштабной компрометации, которую многие называли взломом года, мы собрали в одном материале.

В начале января ФБР, АНБ, CISA и ODNI выпустили совместное заявление, согласно которому за масштабной атакой стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».

В сущности, совместное заявление агентств повторило информацию, опубликованную изданием Washington Post в декабре прошлого года. Тогда журналисты, со ссылкой на собственные источники, писали, что свя­зыва­ют ата­ку с извес­тной рус­ско­языч­ной хак‑груп­пой APT29 (она же Cozy Bear и Dukes), которая, как счи­тают экспер­ты, дей­ству­ет под эги­дой рос­сий­ских властей.

При этом нуж­но ска­зать, что спе­циалис­ты ком­паний FireEye и Microsoft, изу­чив­шие инци­дент дос­кональ­но, не сооб­щили ничего о воз­можной атри­буции ата­ки. Вмес­то это­го FireEye прис­воила груп­пиров­ке ней­траль­ное кодовое имя UNC2452 и заяви­ла, что ата­ка не была нацеле­на кон­крет­но на США.

Теперь эксперты «Лаборатории Касперского» пишут, что код бэкдора Sunburst во многом похож на .NET-бэкдор Kazuar, который давно применяет русскоязычная хак-группа Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton). Эта малварь существует по меньшей мере с 2015 года и впервые была подробно описана в 2017 году компанией Palo Alto Networks.

Эволюция Kazuar

Первое официальное упоминание хак-группы Turla было датировано 2008 годом и связано со взломом Министерства обороны США. Из-за этого довольно долгое время считалось, что группировка начала свою деятельность примерно в 2007 году, но несколько лет назад ИБ-специалисты обнаружили следы Turla в атаках 20-летней давности, то есть теперь считается, что группировка, вероятно, была активна с начала конца 90-х годов.

В разное время с Turla связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность в Европе, на Ближнем Востоке, в Азии и Африке.

Исследователи «Лаборатории Касперского» отмечают, что сходство кода двух вредоносов – это еще не гарантия того, что именно Turla организовала атаку SolarWinds. Теоретически, сходство могло возникнуть из-за того, что взломщики SolarWinds использовали те же кодинговые идеи или просто купили малварь у того же автора. Кроме того, разработчик малвари мог переходить из одной хак-группы в другую, или похожий код – это вообще обманный маневр, призванный сбить с толку аналитиков.

Оставить мнение