Casa > cibernético Notícias > Cavalo de Troia Sunburst interrompido por interruptor de interrupção desenvolvido pela Microsoft, GoDaddy e FireEye
CYBER NEWS

Cavalo de Troia Sunburst interrompido por interruptor de interrupção desenvolvido pela Microsoft, GoDaddy e FireEye

imagem de trojan de computadorO perigoso Trojan Sunburst, Acredita-se que esteja ligado a um grupo de hackers russo, foi interrompido por um interruptor de eliminação conjunta desenvolvido por uma equipe de especialistas da Microsoft, Vai Papai, e FireEye. Isso foi relatado na comunidade de segurança após a intrusão da semana passada na SolarWinds, uma empresa de software empresarial.




Por que o cavalo de Troia Sunburst precisava ser interrompido

Muitas informações ficaram disponíveis sobre o cavalo de Troia Sunburst depois que ele foi usado em um ataque de intrusão na semana passada contra SolarWinds. O incidente de segurança contra a empresa foi relatado por meio de seu próprio aplicativo chamado Orion. O que sabemos é que é possível que o conhecido grupo de hackers russo chamado APT29 (alternativamente conhecido como “Urso Acolhedor”) está por trás disso. Embora isso não seja confirmado, é uma das possibilidades prováveis.

Esta notícia “quebrou” fora de um artigo no The Washington Post afirmando que o grupo russo está por trás de uma campanha de espionagem visando agências pertencentes ao governo dos EUA. Embora o jornal não nomeie explicitamente suas fontes, isso tem provocado muitas pesquisas sobre o assunto.

De acordo com as informações postadas, os criminosos desse coletivo de hackers conseguiram se infiltrar nos sistemas de e-mail das agências usando um pacote malicioso que é uma versão modificada do programa SolarWinds Orion. Aparentemente, os criminosos estavam usando atualizações infectadas por malware para as redes alvo. O vetor de ataque pode ser os sistemas de e-mail, suspeita-se que as agências estejam usando uma rede de serviços baseada em nuvem. Isso oferece a possibilidade de infectar muitos dispositivos de uma vez.

Orion by SolarWinds é na verdade uma plataforma complexa que fornece aos administradores de rede a capacidade de rastrear e medir sua infraestrutura e instalações de software com suporte. Este conjunto de programas e soluções é provavelmente usado por muitos usuários corporativos e também por grandes corporações, isso mostra a gravidade da situação. De acordo com as informações A própria SolarWinds alertou seus clientes, mas apenas cerca da metade deles obteve os pacotes infectados por Trojan.

O principal método de infiltração é a distribuição destes atualizações maliciosas do Orion — isso é possível sequestrando um servidor de propriedade da empresa ou usando uma vulnerabilidade no aplicativo para acionar a entrega de pacotes infectados por vírus. O cavalo de Troia Sunburst é um backdoor sofisticado projetado para sequestrar os dados do usuário e se instalar profundamente nos computadores comprometidos.

Capacidades do Trojan Sunburst

Graças à amostra capturada do Trojan, podemos fornecer uma descrição detalhada de suas capacidades. Eles foram analisados ​​em um ambiente especial e permitem que os pesquisadores de segurança verifiquem exatamente o que ele faz nas máquinas comprometidas. A partir dos resultados da análise, é aparente que o Trojan pode ter sido usado desde março 2020.

O cavalo de Tróia Sunburst, como um representante típico deste tipo de categoria de malware, ficará escondido profundamente nos sistemas. Em parte devido à sua distribuição, pode ser programado para executar uma ampla gama de ações perigosas, incluindo reconfiguração do sistema. Inclui um mecanismo projetado para ignorar detecção de segurança começando com um grande atraso. Isso supera os filtros típicos usados ​​por programas antivírus que presumem que as infecções por vírus acontecem imediatamente após a ameaça relevante ter sido implantada em um determinado sistema. Alguns dos recursos observados dos arquivos de Trojan são os seguintes:

  • Os dados de colheita — Vários tipos de informações podem ser coletados pelo malware automaticamente, dependendo de como eles são programados. Isso pode incluir informações pessoais do usuário que podem ser usadas para diferentes tipos de fins criminosos: chantagem, extorsão, e roubo de identidade. Isso pode ser estendido às informações do sistema, uma grande variedade de dados pode ser extraída: de valores individuais de ambiente de sistema operacional para os dispositivos de hardware usados. Um algoritmo especial pode ser utilizado para criar um identificador único com base nas informações coletadas.
  • Alterações de Registro do Windows — Se algum valor do Registro for modificado, os usuários podem ter problemas de desempenho, a incapacidade de executar certos serviços, e até mesmo perda de dados.
  • arquivos de Remoção — Através da execução do Trojan, ele pode excluir arquivos importantes, como backups e cópias de shadow volume. Se ele interferir nos arquivos do sistema operacional, isso pode levar a outros problemas ao tentar a recuperação.
  • Entrega Malware adicional — Como este vírus se instala usando um método sofisticado, os hackers podem incluir nele outras ameaças, incluindo ransomware.

O cavalo de Troia Sunburst observou muitos mecanismos avançados que fazem parte do padrão de comportamento avançado típico — pode rastrear e desativar os motores do software de segurança instalado, manipular o tráfego de rede, e etc. Dadas as circunstâncias de sua implantação, os alvos comprometidos, e o alto nível de sofisticação, podemos deduzir que o grupo de hackers provavelmente o está usando para vigilância detalhada.

Cavalo de Troia Sunburst interrompido por interruptor de segurança desenvolvido pela equipe conjunta de GoDaddy, Microsoft e FireEye

Após a descoberta do malware e dada a gravidade da situação, uma equipe conjunta de especialistas desenvolveu uma chave de eliminação para impedir que o malware se propagasse ainda mais. Especialistas da Microsoft, Vai Papai, e a FireEye detectou que um único domínio controlado por hacker está operando o serviço principal de comando e controle. O Trojan funciona mascarando o tráfego de rede e analisando fluxos de rede, as conexões ativas podem ser feitas. Os comandos maliciosos são enviados em um formato especial, eles são referidos como “empregos”. Todos os tipos de opções são suportados, incluindo transferência de arquivo, desabilitar serviços do sistema, juntar informação, e assim por diante.

Este Trojan também propaga parte de seu tráfego por meio de redes privadas virtuais na tentativa de esconder sua presença nas redes comprometidas. O interruptor de eliminação criado por três empresas permitiu detectar e encerrar a atividade criminosa do ataque atual.

O interruptor de eliminação irá desativar novas infecções e também bloquear a execução das anteriores, interrompendo a atividade para o domínio. Contudo, isso não removerá instalações de agente ativo ou outro malware que tenha sido implantado por meio dele. Por esta razão, uma verificação profunda de vírus ativa é recomendada para todos os computadores e redes da empresa.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo