i ricercatori di Kaspersky hanno sottolineato che diversi giorni fa è stato segnalato un nuovo attacco rivolto alla supply chain da parte di un attaccante non noto, denominato UNC2452 o DarkHalo.
Il gruppo ha impiantato una backdoor nel software IT SolarWinds Orion, che è stata scaricata da oltre 18.000 clienti di SolarWinds. I ricercatori di Kaspersky hanno esaminato questa backdoor, che si presenta sotto forma di un modulo .NET e che ha dimostrato di avere alcune caratteristiche interessanti e piuttosto uniche.
Secondo gli esperti, l’attacco alla supply chain è stato progettato in modo estremamente professionale e con l’obiettivo di passare inosservato il più a lungo possibile. Infatti, prima di effettuare la prima connessione a internet ai suoi server di comunicazione e di controllo, il malware Sunburst rimane inattivo per un lungo periodo, anche fino a 2 settimane, il che impedisce di individuare immediatamente questo comportamento nelle sandbox. Ciò spiega perché questo attacco sia stato così difficile da individuare.
Nelle fasi iniziali, il malware Sunburst comunica con il server C&C inviando richieste DNS (Domain Name System) codificate. Queste richieste contengono informazioni sul computer infetto, che aiutano l’attaccante a stabilire se sia conveniente dare seguito all’infezione.
Grazie al fatto che le richieste DNS generate da Sunburst codificano alcune delle informazioni del target e agli script disponibili pubblicamente per decodificare le richieste DNS, i ricercatori Kaspersky hanno creato i propri tool per analizzare ulteriormente oltre 1700 record DNS coinvolti nell’incidente.
Questa analisi ha portato all’identificazione di oltre 1000 parti di nomi di target unici e 900 ID utente unici. Sebbene questo possa sembrare un numero elevato, i cybercriminali hanno dimostrato di essere interessati solo a obiettivi di alto profilo. Su oltre 1000 obiettivi, due di essi apparivano particolarmente interessanti anche se non potevano essere facilmente decodificati, una sorta di puzzle crittografico.
Dall’analisi è emerso che tre delle richieste DNS che hanno ricevuto risposte “CNAME”, che indica un obiettivo di alto valore, possono essere decodificate in due nomi di dominio che appartengono a un’organizzazione governativa e a una società di telecomunicazioni negli Stati Uniti.
Per ragioni etiche, Kaspersky non divulgherà i nomi dei domini.
L’azienda ha già provveduto a informare le due organizzazioni, offrendo il proprio supporto per rilevare ulteriori attività dannose.
Per aiutare la community a identificare obiettivi potenzialmente interessanti per gli attaccanti, Kaspersky ha pubblicato il codice sorgente del decoder
