هکرهای SolarWinds ترفندهایی را با یک گروه جاسوسی مشهور روسی به اشتراک گذاشتند


از آنجا که در ماه دسامبر ، با فاش شدن اینکه هکرها شرکت نرم افزاری مدیریت فناوری اطلاعات SolarWinds را نقض کرده اند ، به همراه تعداد نامشخصی از مشتریان آن ، روسیه متهم اصلی بود. اما حتی اگر مقامات آمریکایی حمله به کرملین را با درجات مختلف اطمینان توصیف کنند ، هیچ مدرک فنی برای حمایت از این یافته ها منتشر نشده است. اکنون شرکت امنیت سایبری کسپرسکی روسیه از اولین شواهد قابل تأیید رونمایی کرده است – به نظر می رسد سه مورد از آنها ارتباط هکرهای SolarWinds و یک گروه جاسوسی سایبری معروف روسی را داشته باشد.

صبح روز دوشنبه ، کسپرسکی شواهد جدیدی از شباهت های فنی بین بدافزار مورد استفاده توسط هکرهای مرموز SolarWinds که به نام های صنعت امنیتی از جمله UNC2452 و Dark Halo معروف است و گروه هکرهای مشهور روسی Turla که روسی معتقدند ، است. منشا و همچنین با نام های خرس سمی و مار شناخته می شود. این گروه مظنون به فعالیت به نمایندگی از FSB ، جانشین روسیه در KGB است و دهه هاست که مشغول هک جاسوسی است. محققان کسپرسکی به وضوح اظهار داشتند که ادعا نمی کنند UNC2452 هستند است تورلا در حقیقت ، آنها دلیل بر این باورند که هکرهای SolarWinds و Turla یکسان نیستند. اما آنها می گویند یافته هایشان حاکی از آن است که یک گروه هکر حداقل “از گروه دیگر” الهام گرفته است و ممکن است اعضای مشترک داشته باشد یا یک توسعه دهنده نرم افزار مشترک ، بدافزار خود را بسازد.

محققان کسپرسکی سه شباهت را در درب پشت UNC2452 ، معروف به SunBurst و یک قطعه پنج ساله بدافزار Turla معروف به Kazuar یافتند که اولین بار توسط محققان امنیتی در Palo Alto Networks در سال 2017 کشف شد. رئیس تحقیقات جهانی و تجزیه و تحلیل کسپرسکی ، تیم کوستین رایو خاطرنشان کرد که سه شباهت بین ابزار هکرها کد یکسانی نیستند ، بلکه بیشتر تکنیک های خیانت آمیز هستند. رایو گفت که این در واقع رابطه معنی دارتر می کند. رایو می گوید: “تلاش برای کپی و چسباندن نیست. بلکه اگر من یک برنامه نویس هستم و برخی از ابزارها را می نویسم و ​​آنها از من می خواهند چنین چیزی بنویسم ، من قصد دارم آن را با همان فلسفه بنویسم.” “این بیشتر شبیه دست خط است. این دست خط یا سبک در پروژه های مختلفی که توسط یک شخص نوشته شده است پخش می شود.”

از آنجا که اولین موفقیت SolarWinds رونمایی شد ، کسپرسکی می گوید که آرشیو بدافزار خود را برای یافتن لینک جستجو می کند. تنها چند هفته پس از مرور نمونه های بدافزار گذشته ، یکی از محققان آن ، جورجی کوچرین ، 18 ساله ، توانست پیوندهایی به کازوار را پیدا کند که با روشهایی که تورلا برای مخفی کردن کد خود استفاده می کرد ، پنهان بود. کوچرین اکنون دریافته است که هر دو Kazuar و Sunburst از تکنیک های رمزنگاری بسیار مشابهی در سرتاسر کد خود استفاده می کنند: به طور خاص ، یک الگوریتم هش 64 بیتی به نام FNV-1a ، با اضافه کردن یک مرحله اضافی معروف به XOR برای تغییر داده ها. این دو بدافزار همچنین از یک فرآیند رمزنگاری یکسان برای تولید شناسه های منحصر به فرد برای ردیابی قربانیان مختلف استفاده کردند ، در این حالت عملکرد هش MD5 و به دنبال آن XOR.

سرانجام ، هر دو بدافزار از یک عملکرد ریاضی برای تعیین “زمان خواب” تصادفی قبل از برقراری ارتباط بدافزار با سرور مدیریت فرمان برای جلوگیری از شناسایی استفاده کردند. این زمان ها می تواند برای Sunburst تا دو هفته و برای Kazuar تا چهار هفته باشد ، تاخیرهای غیرمعمول طولانی که نشان می دهد سطح صبر و پنهانکاری مشابهی در سازها وجود دارد.

با هم ، این سه نقص در عملکرد بدافزار احتمالاً بیش از یک تصادف است ، می گوید Raiu کسپرسکی. وی می گوید: “هر كدام از این سه شباهت ، اگر آن را مسلم بدانید ، چندان غیر معمول نیست.” “دو شباهت هر روز اتفاق نمی افتد. قطعاً سه مورد جالب است.”

دیمیتری آلپروویچ ، یکی از بنیانگذاران و افسر ارشد فناوری سابق شرکت امنیتی CrowdStrike ، گفت که این ارتباطات فراتر از “جالب” است. آلپروویچ گفت: “این انتساب حداقل به اطلاعات روسیه را تأیید می کند.”


منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>