De gevaarlijke Sunburst Trojan, vermoedelijk gekoppeld aan een Russische hackgroep, is gestopt door een gezamenlijke kill-switch die is bedacht door een team van specialisten van Microsoft, GoDaddy, en FireEye. Dit werd gemeld in de beveiligingsgemeenschap na de inbraak van vorige week in SolarWinds, een bedrijfssoftwarebedrijf.
Waarom de Sunburst Trojan moest worden gestopt
Er kwam veel informatie beschikbaar over de Sunburst Trojan nadat deze vorige week werd gebruikt bij een indringingsaanval tegen SolarWinds. Het beveiligingsincident tegen het bedrijf zou gebeuren via hun eigen applicatie genaamd Orion. Wat we weten is dat het mogelijk is dat de bekende Russische hackgroep heeft gebeld APT29 (ook bekend als “Gezellige beer”) zit erachter. Hoewel dit niet wordt bevestigd, het is een van de waarschijnlijke mogelijkheden.
Dit nieuwsbericht “kapot gegaan” uit een artikel bij The Washington Post waarin staat dat de Russische groep achter een spionagecampagne zit die gericht is op agentschappen van de Amerikaanse regering. Terwijl de krant hun bronnen niet expliciet noemt, dit heeft nogal wat onderzoek naar de zaak uitgelokt.
Volgens de geposte informatie, de criminelen van dit hackercollectief waren in staat om de e-mailsystemen van de agentschappen te infiltreren met behulp van een kwaadaardig pakket dat een aangepaste versie is van het SolarWinds Orion-programma. Blijkbaar gebruikten de criminelen door malware geïnfecteerde updates naar de doelnetwerken. De aanvalsvector zijn mogelijk de e-mailsystemen, vermoedelijk maken de agentschappen gebruik van een cloudgebaseerd servicenetwerk. Dit biedt de mogelijkheid om veel apparaten tegelijk te infecteren.
Orion van SolarWinds is eigenlijk een complex platform dat netwerkbeheerders de mogelijkheid biedt om hun infrastructuur en ondersteunde software-installaties te volgen en te meten.. Deze reeks programma's en oplossingen wordt waarschijnlijk ook door veel zakelijke gebruikers en grote bedrijven gebruikt, dit toont de ernst van de situatie aan. Volgens de informatie SolarWinds waarschuwde zelf hun klanten, maar slechts ongeveer de helft van hen heeft de met Trojan geïnfecteerde pakketten verkregen.
De belangrijkste methode van infiltratie is de verspreiding hiervan kwaadaardige Orion-updates — dit is mogelijk door een server van het bedrijf te kapen of door een kwetsbaarheid in de applicatie te gebruiken om de levering van de met virus geïnfecteerde pakketten te activeren. De Sunburst Trojan is een geavanceerde achterdeur die is ontworpen om gebruikersgegevens te kapen en zichzelf diep in de besmette computers te installeren.
Mogelijkheden van The Sunburst Trojan
Dankzij het vastgelegde voorbeeld van de Trojan kunnen we een gedetailleerde beschrijving geven van de mogelijkheden ervan. Ze werden in een speciale omgeving geanalyseerd en stellen de beveiligingsonderzoekers in staat om te controleren wat het precies doet op de gecompromitteerde machines. Van de resultaten van de analyse, het is duidelijk dat de Trojan is mogelijk gebruikt sinds maart 2020.
De Sunburst Trojan zal zich als een typische vertegenwoordiger van dit type malware categorie diep in de systemen verbergen. Mede door zijn distributie kan het worden geprogrammeerd om een breed scala aan gevaarlijke acties uit te voeren, inclusief herconfiguratie van het systeem. Het bevat een mechanisme dat is ontworpen om omzeil beveiligingsdetectie door met grote vertraging te beginnen. Dit overwint de typische filters die worden gebruikt door antivirusprogramma's die veronderstellen dat virusinfecties plaatsvinden onmiddellijk nadat de relevante dreiging op een bepaald systeem is geïmplementeerd. Enkele van de genoemde mogelijkheden van de Trojan-bestanden zijn de volgende:
- gegevens Oogsten — Verschillende soorten informatie kunnen automatisch door de malware worden verzameld, afhankelijk van hoe ze zijn geprogrammeerd. Dit kan persoonlijke gebruikersinformatie zijn die voor verschillende soorten criminele doeleinden kan worden gebruikt: chantage, afpersing, en identiteitsdiefstal. Dit kan worden uitgebreid tot systeeminformatie, een breed scala aan gegevens kan worden geëxtraheerd: van individuele omgevingswaarden van het besturingssysteem tot de gebruikte hardwareapparaten. Een speciaal algoritme kan worden gebruikt om een unieke identificatiecode te creëren op basis van de verzamelde informatie.
- Windows Registry Changes — Als er registerwaarden worden gewijzigd, kunnen de gebruikers prestatieproblemen ervaren, het onvermogen om bepaalde services uit te voeren, en zelfs gegevensverlies.
- bestanden verwijderen — Door de uitvoering van de Trojan kan het belangrijke bestanden verwijderen, zoals back-ups en schaduwvolumekopieën. Als het de bestanden van het besturingssysteem knoeit, kan dit leiden tot verdere problemen bij het proberen te herstellen.
- Extra Malware Delivery — Aangezien dit virus zichzelf installeert met behulp van een geavanceerde methode, kunnen de hackers er andere bedreigingen in bundelen, waaronder ransomware.
De Sunburst Trojan heeft veel geavanceerde mechanismen opgemerkt die allemaal deel uitmaken van het typische geavanceerde gedragspatroon — het kan de engines van de geïnstalleerde beveiligingssoftware volgen en uitschakelen, manipuleren van netwerkverkeer, en etc. Gezien de omstandigheden van zijn inzet, de gecompromitteerde doelen, en het hoge niveau van verfijning, we kunnen afleiden dat de hackgroep het waarschijnlijk gebruikt gedetailleerd toezicht.
Sunburst Trojan Gestopt door Kill Switch bedacht door het gezamenlijke team van GoDaddy, Microsoft en FireEye
Na de ontdekking van de malware en gezien de ernst van de situatie heeft een gezamenlijk team van experts een kill-schakelaar bedacht om te voorkomen dat de malware zich verder verspreidt. Experts van Microsoft, GoDaddy, en FireEye ontdekte dat één door hackers gecontroleerd domein de belangrijkste commando- en controleservice beheert. De Trojan werkt door netwerkverkeer te maskeren en door netwerkstromen te analyseren kunnen actieve verbindingen tot stand worden gebracht. De kwaadaardige commando's worden in een speciaal formaat verzonden, ze worden aangeduid als “banen”. Allerlei opties worden ondersteund, inclusief bestandsoverdracht, systeemservices uitschakelen, informatie verzamelen, enzovoort.
Deze Trojan propageert ook een deel van zijn verkeer door virtual private networks in een poging om zijn aanwezigheid op de gecompromitteerde netwerken te verbergen. De kill-schakelaar die door drie bedrijven is gemaakt, heeft het mogelijk gemaakt de criminele activiteit van de huidige aanval te detecteren en stop te zetten.
De kill-schakelaar schakelt nieuwe infecties uit en blokkeert ook het uitvoeren van vorige door de activiteit naar het domein te stoppen. Echter, hierdoor worden actieve agentinstallaties of andere malware die erdoor is ingezet niet verwijderd. Daarom, een actieve diepe virusscan wordt aanbevolen voor alle computers en bedrijfsnetwerken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: