En enquêtant sur une attaque persistante avancée (APT) encore inconnue, les chercheurs de Kaspersky ont découvert un nouveau malware qui contient plusieurs attributs pouvant être mis en relation avec DarkHalo, le groupe cybercriminel à l’origine de la cyberattaque Sunburst. Celle-ci est considérée comme l’une des attaques supply-chain les plus dévastatrices de ces des dernières années.
L’affaire remonte à décembre 2020 : le groupe cybercriminel DarkHalo a infecté le réseau d’un éditeur de logiciels d’entreprises très utilisés puis a longuement exploité son infrastructure pour propager des spywares en les faisant passer pour des mises à jour logicielles légitimes. Face à l’emballement médiatique et à la traque sans relâche menée par les acteurs de la cybersécurité, DarkHalo a fait profil bas. Après Sunburst, aucune autre attaque notable n’a été imputée à ce groupe, comme si l’APT DarkHalo avait disparu des radars. Pourtant, les résultats des dernières études conduites par la Global Research and Analysis Team de Kaspersky et présentées lors du Security Analyst Summit indiquent que cela n’est peut-être pas le cas.
En juin 2021, plus de six mois après la « disparition » de DarkHalo, les chercheurs de Kaspersky ont retrouvé les traces d’une vague d’attaques DNS perpétrées contre plusieurs administrations dans le même pays. Les attaques DNS consistent à modifier le nom de domaine (qui sert à connecter l’URL d’un site avec l’adresse IP du serveur qui héberge le site en question) de façon à dérouter le trafic vers un serveur contrôlé par les hackers. Dans le cas détecté par Kaspersky, les victimes de l’attaque essayaient d’accéder à l’interface web d’un service de messagerie électronique pour entreprises. Au lieu de cela, ils étaient redirigés vers une copie factice de cette interface, puis invités à télécharger une mise à jour logicielle malveillante. En suivant la trace des attaquants, les chercheurs de Kaspersky ont retrouvé la mise à jour factice et découvert que celle-ci générait une porte dérobée encore inconnue à ce jour, baptisée Tomiris.
Des analyses plus poussées ont montré que cette porte dérobée visait principalement à établir un point d’ancrage à l’intérieur du système ciblé pour ensuite télécharger d’autres composants malveillants. Malheureusement, ces derniers n’ont pas pu être identifiés, mais les chercheurs ont fait une découverte importante en observant que la porte dérobée Tomiris ressemblait étrangement à Sunshuttle, la porte dérobée utilisée dans le cadre de l’attaque Sunburst.
D’après Communiqué