Atacul cibernetic SolarWinds pe scară largă, care a ieșit la iveală în decembrie anul trecut, a fost cunoscut pentru sofisticarea sa în ceea ce privește lărgimea tacticii folosite pentru a se infiltra și a persista în infrastructura țintă, atât de mult încât Microsoft a continuat să-l numească pe jucătorul de amenințări din spatele său. Campania este „capabilă și metodică operatorii care urmăresc cele mai bune practici de securitate a operațiunilor (OpSec) pentru a minimiza urmele, a rămâne sub radar și pentru a evita detectarea. „

Ca dovadă suplimentară a acestui fapt, noile cercetări publicate astăzi arată că actorul amenințător a planificat cu atenție fiecare etapă a operațiunii pentru a „evita crearea tipurilor de tipare care fac urmărirea lor simplă” și b astfel îngreunând deliberat analiza criminalistică.

Analizând datele de telemetrie asociate cu indicatorii de compromis publicați anterior, RiskIQ a declarat că a identificat un set suplimentar de 18 servere de înaltă încredere care probabil comunicau cu greutățile secundare vizate Cobrik Strike livrate. Prin TEARDROP și RAINDROP malware, care reprezintă o creștere de 56% marca de comandă și control cunoscută a atacatorului.

auditor de parole

„Modelele ascunse” au fost descoperite printr-o analiză a certificatelor SSL utilizate de grup.

Dezvoltarea vine la o săptămână după ce agențiile de informații americane au atribuit oficial hacking-ul lanțului de aprovizionare Serviciului rus de informații externe (SVR). Potrivit guvernului SUA, compromisul lanțului de aprovizionare cu software-ul SolarWinds ar fi dat APT29 (cunoscut și sub numele de Cosy Bear sau The Dukes) posibilitatea de a spiona de la distanță sau de a perturba mai mult de 16.000 de sisteme informatice din întreaga lume.

Atacurile sunt urmărite de comunitatea de securitate cibernetică sub mai multe monikere, printre care UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unitatea 42), StellarParticle (Crowdstrike) și Dark Halo (Volexity), invocând diferențe în tactici, tehnici și proceduri (TTP) utilizate de oponent cu cele ale profilurilor de atacatori cunoscute, care se aplică la APT29.

„Cercetătorii sau produsele reglate pentru a descoperi o activitate APT29 bine-cunoscută nu reușesc să recunoască campania pe măsură ce se desfășura”, a declarat Kevin Livelli, directorul de informații secrete al RiskIQ. „Ar fi atât de greu să urmărească campania odată ce au descoperit-o, motiv pentru care știam atât de puțin despre etapele ulterioare ale campaniei SolarWinds”.

La începutul acestui an, producătorul Windows a remarcat modul în care atacatorii au depus un efort mare pentru a se asigura că ușa din spate inițială (SUNBURST cunoscută și sub numele de Solorigate) și plantele post-compromis (TEARDROP și RAINDROP) au rămas cât mai separate posibil pentru a contracara eforturile de detectează activitatea lor rău intenționată. Acest lucru a fost făcut astfel încât, în cazul în care plantele Cobalt Strike au fost detectate în rețelele victimelor; nu dezvăluie compromisul traseului SolarWinds și atacul lanțului de aprovizionare care a condus la desfășurarea acestuia în primul rând.

auditor de parole

Dar, conform RiskIQ, acesta nu este singurul pas pe care jucătorul APT29 l-a făcut pentru a-și acoperi urmele, care au inclus –

  • Achiziționarea de domenii prin intermediul unor furnizori terți și la licitații de domenii sub nume diferite, în încercarea de a ascunde informațiile de proprietate și de a răscumpăra domeniile expirate până acum deținute de terți. Organizații legitime pe parcursul mai multor ani.
  • Găzduirea infrastructurii de atac în prima etapă (SUNBURST) în întregime în Statele Unite, a doua etapă (TEARDROP și RAINDROP) în principal în Statele Unite și a treia etapă (GOLDMAX, cunoscută și sub numele de SUNSHUTTLE), în principal în țări străine.
  • Proiectați un cod de atac, astfel încât să nu fie instalate două programe malware în etapele succesive ale lanțului de infecție să arate la fel și
  • Ingineria de backdoor din prima etapă a SUNBURST pentru a-și regla serverele de comandă și control (C2) cu jitter aleatoriu după o perioadă de două săptămâni, într-o încercare probabilă de a supraviețui duratei de viață tipice de înregistrare a evenimentelor pe majoritatea detecției de puncte bazate pe gazdă. Platforme de răspuns (EDR).

„Identificarea amprentei infrastructurii de atac a unui jucător de amenințare implică de obicei corelarea adreselor IP și a domeniilor cu campaniile cunoscute pentru a identifica tiparele”, a spus Levels.

„Cu toate acestea, analiza noastră arată că grupul a luat măsuri extinse pentru a-i arunca pe cercetători de pe urmele lor”, sugerând că actorul amenințător a luat măsuri extinse pentru a evita crearea unor astfel de modele.

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.