23/04/21
Хакерская операция SolarWinds, о которой стало известно в декабря 2020 года, отличается высокой сложностью и огромным набором тактик, используемых злоумышленниками для проникновения и сохранения постоянства в инфраструктуре атакуемых организаций.
Еще одним подтверждением высокой квалификации хакеров стал новый отчет ИБ-компании RiskIQ. По данным исследователей, киберпреступники тщательно планировали каждый этап атаки во избежание создания шаблонов. Избегая шаблонов, хакеры затруднили отслеживание вредоносной активности и усложнили криминалистическую экспертизу.
Анализируя телеметрические данные, связанные с опубликованными ранее индикаторами компрометации, исследователи обнаружили дополнительный набор из 18 серверов, использовавшийся для связи с вторичной полезной нагрузкой Cobalt Strike, доставляемой вредоносным ПО TEARDROP и RAINDROP.
«Скрытые закономерности» были выявлены в процессе анализа использовавшихся киберпреступниками SSL-сертификатов.
Правительство США возложило ответственность за атаки на хакерскую группировку APT29. Тем не менее, различные ИБ-компании отслеживают киберпреступную группировку под разными названиями, в том числе UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike) и Dark Halo (Volexity). Специалисты ссылаются на различия в тактиках, техниках и процедурах (TTP), использовавшихся в атаках SolarWinds, и TTP известных киберпреступных группировок, в том числе. APT29.
«Исследователи или продукты, настроенные на обнаружение известной активности APT29, не смогут распознать кампанию в том виде, в каком она происходит. Вот почему мы так мало знали о более поздних этапах кампании SolarWinds», - пояснил директор RiskIQ по анализу угроз Кевин Ливелли (Kevin Livelli).
Как ранее в нынешнем году отметили специалисты Microsoft, злоумышленники приложили все усилия, чтобы первоначальный бэкдор (SUNBURST, он же Solorigate) и закладки после компрометации (TEARDROP и RAINDROP) оставались максимально разделенными, и их вредоносная активность не была обнаружена. Это было сделано для того, чтобы в случае обнаружения имплантов Cobalt Strike в сетях жертвы скомпрометированный двоичный файл SolarWinds и атака на цепочку поставок оставались незамеченными.
Как пояснил Ливелли, выявление следов инфраструктуры злоумышленников обычно включает в себя сопоставление IP-адресов и доменов с известными вредоносными кампаниями с целью выявления закономерностей. «Однако как показывает наш анализ, группировка приняла меры, чтобы сбить исследователей с их следа», - сообщил исследователь.
