Den farlige Sunburst Trojan, menes at være knyttet til en russisk hacking-gruppe, er blevet stoppet af en fælles kill switch skabt af et team af specialister fra Microsoft, GoDaddy, og FireEye. Dette blev rapporteret i sikkerhedssamfundet efter sidste uges indtrængen i SolarWinds, en virksomhedssoftwarefirma.
Hvorfor Sunburst Trojan skulle stoppes
En masse information blev tilgængelig om Sunburst Trojan, efter at den blev brugt i et angreb fra sidste uge mod SolarWinds. Sikkerhedshændelsen mod virksomheden blev rapporteret at være gjort gennem deres egen kaldte ansøgning Orion. Hvad vi ved er, at det er muligt, at den velkendte russiske hackinggruppe ringede APT29 (alternativt kendt som “Hyggelig bjørn”) står bag det. Selv om dette ikke er bekræftet, det er en af de sandsynlige muligheder.
Denne nyhedshistorie “gik i stykker” ud af en artiklen i The Washington Post om, at den russiske gruppe står bag en spionagekampagne rettet mod agenturer, der tilhører den amerikanske regering. Mens avisen ikke udtrykkeligt navngiver deres kilder, dette har fremkaldt en hel del forskning i sagen.
Ifølge de indsendte oplysninger, kriminelle fra dette hackerkollektiv var i stand til at infiltrere agenturernes e-mail-systemer ved hjælp af en ondsindet pakke, der er en modificeret version af SolarWinds Orion-programmet. Tilsyneladende brugte de kriminelle malware-inficerede opdateringer til målnetværket. Angrebsvektoren er mulig at være e-mail-systemet, det mistænkes for, at agenturerne bruger et skybaseret servicenetværk. Dette giver muligheden for at inficere mange enheder på én gang.
Orion af SolarWinds er faktisk en kompleks platform, der giver netværksadministratorer mulighed for at spore og måle deres infrastruktur og understøttede softwareinstallationer. Denne serie af programmer og løsninger bruges sandsynligvis også af mange forretningsbrugere og store virksomheder, dette viser sværhedsgraden af situationen. Ifølge de oplysninger, SolarWinds advarede selv deres kunder, men kun omkring halvdelen af dem har fået de Trojan-inficerede pakker.
Den vigtigste metode til infiltration er fordelingen af disse ondsindede Orion-opdateringer — dette er muligt ved kapring af en server, der ejes af virksomheden eller ved hjælp af en sårbarhed i applikationen for at udløse levering af dig virusinficerede pakker. Sunburst Trojan er en sofistikeret bagdør, der er designet til at kapre brugerens data og installere sig dybt ind i de kompromitterede computere.
Sunburst Trojans evner
Takket være den fangede prøve af trojanen kan vi give en detaljeret beskrivelse af dens muligheder. De blev analyseret i et specielt miljø og giver sikkerhedsforskerne mulighed for at kontrollere, hvad det præcist gør på de kompromitterede maskiner. Fra analyseresultaterne, det er tydeligt, at Trojanen er muligvis blevet brugt siden marts 2020.
Sunburst Trojan som en typisk repræsentant for denne malware-kategoritype gemmer sig dybt inde i systemerne. Dels på grund af dets distribution kan det programmeres til at udføre en lang række farlige handlinger, inklusive systemkonfiguration. Det inkluderer en mekanisme designet til omgå sikkerhedspåvisning ved at starte sig selv med en stor forsinkelse. Dette overvinder de typiske filtre, der bruges af antivirusprogrammer, der antager, at virusinfektioner sker umiddelbart efter, at den relevante trussel er blevet implementeret på et givet system. Nogle af de bemærkede funktioner i Trojan-filer er følgende:
- data, Høst — Forskellige typer oplysninger kan automatisk indsamles af malware, afhængigt af hvordan de er programmeret. Dette kan omfatte personlige brugeroplysninger, der kan bruges til forskellige typer kriminelle formål: afpresse, afpresning, og identitetstyveri. Dette kan udvides til systeminformation, en bred vifte af data kan udvindes: fra individuelle operativsystemmiljøværdier til de anvendte hardwareenheder. En speciel algoritme kan bruges til at oprette en unik identifikator baseret på den indsamlede information.
- Windows Registry Ændringer — Hvis nogen registreringsværdier ændres, kan brugerne opleve ydeevneproblemer, manglende evne til at køre visse tjenester, og endda datatab.
- Fjernelse af filer — Gennem udførelsen af Trojan kan den slette vigtige filer såsom sikkerhedskopier og kopier af skyggevolumen. Hvis det manipulerer med operativsystemfilerne, kan dette føre til yderligere problemer, når du forsøger at gendanne.
- Yderligere Malware Levering — Da denne virus installerer sig selv ved hjælp af en sofistikeret metode, kan hackerne samle andre trusler i den, herunder ransomware.
Sunburst Trojan har bemærket mange avancerede mekanismer, der alle er en del af det typiske avancerede adfærdsmønster — det kan spore og deaktivere motorerne i den installerede sikkerhedssoftware, manipulere netværkstrafik, og etc. I betragtning af omstændighederne med dets implementering, de kompromitterede mål, og det høje niveau af sofistikering, vi kan udlede, at hackegruppen sandsynligvis bruger den til detaljeret overvågning.
Sunburst Trojan stoppet af Kill Switch designet af det fælles team af GoDaddy, Microsoft og FireEye
Efter opdagelsen af malware og i betragtning af sværhedsgraden af situationen har et fælles team af eksperter udtænkt en kill switch for at stoppe malware fra at udbrede sig yderligere. Eksperter fra Microsoft, GoDaddy, og FireEye registrerede, at et enkelt hacker-kontrolleret domæne driver hovedkommando- og kontroltjenesten. Trojanen fungerer ved at maskere netværkstrafik og ved at analysere netværksstrømme kan der oprettes aktive forbindelser. De ondsindede kommandoer sendes i et specielt format, de kaldes “job”. Alle mulige muligheder understøttes, inklusive filoverførsel, deaktivere systemtjenester, samle information, og så videre.
Denne trojan formerer også noget af sin trafik igennem virtuelle private netværk i et forsøg på at skjule sin tilstedeværelse på de kompromitterede netværk. Dræbeafbryderen oprettet af tre virksomheder har gjort det muligt at opdage og lukke den kriminelle aktivitet i det aktuelle angreb.
Drabkontakten deaktiverer nye infektioner og blokerer også kørslen af tidligere ved at stoppe aktiviteten til domænet. Men, dette fjerner ikke installationer af aktive agenter eller anden malware, der er blevet implementeret gennem den. Af denne grund, en aktiv dyb virusscanning anbefales til alle computere og virksomhedsnetværk.