Casa > Cyber ​​Notizie > Sunburst Trojan fermato da Kill Switch ideato da Microsoft, GoDaddy e FireEye
CYBER NEWS

Sunburst Trojan fermato da Kill Switch ideato da Microsoft, GoDaddy e FireEye

immagine trojan del computerIl pericoloso Trojan Sunburst, ritenuto essere collegato a un gruppo di hacker russo, è stato fermato da un kill switch congiunto ideato da un team di specialisti Microsoft, Vai papà, e FireEye. Questo è stato segnalato nella comunità della sicurezza dopo l'intrusione della scorsa settimana in SolarWinds, una società di software aziendale.




Perché il Trojan Sunburst doveva essere fermato

Molte informazioni sono diventate disponibili sul Trojan Sunburst dopo che è stato utilizzato in un attacco di intrusione la scorsa settimana contro SolarWinds. L'incidente di sicurezza contro l'azienda è stato segnalato per essere stato fatto tramite la propria applicazione chiamata Orion. Quello che sappiamo è che è possibile che il noto gruppo di hacker russo abbia chiamato APT29 (in alternativa detta “Orso accogliente”) c'è dietro. Anche se questo non è confermato, è una delle probabili possibilità.

Questa notizia “rotto” da un articolo al Washington Post affermando che il gruppo russo è dietro una campagna di spionaggio rivolta ad agenzie appartenenti al governo degli Stati Uniti. Mentre il giornale non nomina esplicitamente le loro fonti, questo ha provocato un bel po 'di ricerca in materia.

Secondo le informazioni pubblicate, i criminali di questo collettivo di hacker sono stati in grado di infiltrarsi nei sistemi di posta elettronica delle agenzie utilizzando un pacchetto dannoso che è una versione modificata del programma SolarWinds Orion. Apparentemente i criminali stavano usando aggiornamenti infetti da malware alle reti di destinazione. Il vettore di attacco può essere il sistema di posta elettronica, si sospetta che le agenzie stiano utilizzando una rete di servizi basata su cloud. Ciò offre la possibilità di infettare molti dispositivi contemporaneamente.

Orion di SolarWinds è in realtà una piattaforma complessa che fornisce agli amministratori di rete la possibilità di monitorare e misurare la propria infrastruttura e le installazioni software supportate. Questa suite di programmi e soluzioni è probabilmente utilizzata da molti utenti aziendali e anche da grandi aziende, questo mostra la gravità della situazione. Secondo le informazioni SolarWinds stessa ha avvisato i propri clienti, ma solo circa la metà di loro ha ottenuto i pacchetti infettati da Trojan.

Il metodo principale di infiltrazione è la distribuzione di questi aggiornamenti Orion dannosi — ciò è possibile dirottando un server di proprietà dell'azienda o utilizzando una vulnerabilità nell'applicazione per attivare la consegna di te pacchetti infetti da virus. Sunburst Trojan è una sofisticata backdoor progettata per dirottare i dati dell'utente e installarsi in profondità nei computer compromessi.

Funzionalità di The Sunburst Trojan

Grazie al campione catturato del Trojan possiamo fornire una descrizione dettagliata delle sue capacità. Sono stati analizzati in un ambiente speciale e consentono ai ricercatori di sicurezza di verificare cosa fa esattamente sulle macchine compromesse. Dai risultati dell'analisi, è evidente che il Trojan potrebbe essere stato utilizzato da marzo 2020.

Il Sunburst Trojan come tipico rappresentante di questo tipo di categoria di malware si nasconderà in profondità nei sistemi. In parte a causa della sua distribuzione, può essere programmato per eseguire un'ampia gamma di azioni pericolose, compresa la riconfigurazione del sistema. Include un meccanismo progettato per bypassare il rilevamento della sicurezza avviandosi con un grande ritardo. Ciò supera i filtri tipici utilizzati dai programmi antivirus che presumono che le infezioni da virus avvengano immediatamente dopo che la minaccia rilevante è stata distribuita su un dato sistema. Alcune delle funzionalità note dei file Trojan sono le seguenti:

  • La raccolta dei dati — Vari tipi di informazioni possono essere raccolte automaticamente dal malware, a seconda di come sono programmati. Ciò può includere informazioni personali dell'utente che possono essere utilizzate per diversi tipi di scopi criminali: ricatto, estorsione, e furto di identità. Questo può essere esteso alle informazioni di sistema, è possibile estrarre un'ampia gamma di dati: dai valori dell'ambiente del sistema operativo individuale ai dispositivi hardware utilizzati. Uno speciale algoritmo può essere utilizzato per creare un identificatore univoco basato sulle informazioni raccolte.
  • Windows modifica del Registro di sistema — Se vengono modificati i valori del Registro di sistema, gli utenti possono riscontrare problemi di prestazioni, l'incapacità di eseguire determinati servizi, e persino la perdita di dati.
  • La rimozione dei file — Attraverso l'esecuzione del Trojan è possibile eliminare file importanti come backup e copie shadow del volume. Se altera i file del sistema operativo, ciò può portare a ulteriori problemi durante il tentativo di ripristino.
  • Ulteriori consegna Malware — Poiché questo virus si installa utilizzando un metodo sofisticato, gli hacker possono raggruppare altre minacce, tra cui ransomware.

Il Trojan Sunburst ha notato molti meccanismi avanzati che fanno tutti parte del tipico modello di comportamento avanzato — può tracciare e disabilitare i motori del software di sicurezza installato, manipolare il traffico di rete, e così via. Date le circostanze del suo dispiegamento, gli obiettivi compromessi, e l'alto livello di raffinatezza, possiamo dedurre che il gruppo di hacker lo sta probabilmente usando per sorveglianza dettagliata.

Sunburst Trojan fermato da Kill Switch ideato dal team congiunto di GoDaddy, Microsoft e FireEye

In seguito alla scoperta del malware e data la gravità della situazione, un team congiunto di esperti ha ideato un kill switch per impedire al malware di propagarsi ulteriormente. Esperti di Microsoft, Vai papà, e FireEye ha rilevato che un singolo dominio controllato da hacker gestisce il servizio di comando e controllo principale. Il Trojan funziona mascherando il traffico di rete e analizzando i flussi di rete è possibile stabilire connessioni attive. I comandi dannosi vengono inviati in un formato speciale, sono indicati come “lavori”. Sono supportati tutti i tipi di opzioni, compreso il trasferimento di file, disabilitare i servizi di sistema, raccogliere informazioni, e così via.

Questo Trojan propaga anche parte del suo traffico reti private virtuali nel tentativo di nascondere la sua presenza sulle reti compromesse. Il kill switch creato da tre società ha permesso di rilevare e bloccare l'attività criminale dell'attuale attacco.

Il kill switch disabiliterà le nuove infezioni e bloccherà anche l'esecuzione di quelle precedenti interrompendo l'attività nel dominio. Tuttavia, ciò non rimuoverà le installazioni di agenti attivi o altri malware che sono stati distribuiti attraverso di esso. Per questo motivo, una scansione antivirus profonda attiva è consigliata per tutti i computer e le reti aziendali.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo