ในขณะเดียวกัน นักวิจัยที่ SecurityScorecard กล่าวว่าตัวโหลดมัลแวร์ “แบบไม่มีไฟล์” ในการโจมตี – Teardrop – จริงๆ แล้วมีอายุย้อนไปถึงปี 2017
องค์กรที่ตรวจสอบว่าพวกเขาตกเป็นเหยื่อของ — หรือยังคงติดไวรัส — แคมเปญโจมตี SolarWinds ที่เรียกว่าตอนนี้สามารถเข้าถึงชุดเครื่องมือฟรีที่ Microsoft ใช้เพื่อกำจัดมัลแวร์ในรหัสของตนเอง
Microsoft กำลังเสนอการสืบค้น CodeQL ที่ใช้ในการวิเคราะห์ซอร์สโค้ดหลังจากค้นพบการละเมิด SolarWinds CodeQL เป็นเครื่องมือในชุดเครื่องมือ Advanced Security ของ GitHub; แบบสอบถามที่ Microsoft ใช้กับโค้ดรูทโค้ด CodeQL ที่มีความคล้ายคลึงกันในรูปแบบและฟังก์ชันกับไบนารี SolarWinds คำค้นหาเหล่านี้สามารถใช้กับซอฟต์แวร์ใดก็ได้สำหรับสัญญาณของแคมเปญโจมตี SolarWinds
และในการพัฒนา SolarWinds แยกต่างหาก นักวิจัยด้านความปลอดภัยที่ SecurityScorecard กล่าวว่าพวกเขาได้ค้นพบว่ามัลแวร์ชิ้นหนึ่งที่ใช้ในการโจมตี SolarWinds ซึ่งเป็นหยดเฉพาะหน่วยความจำที่ขนานนามว่า Teardrop ซึ่งสร้างโปรไฟล์เครือข่ายและสภาพแวดล้อมของระบบของเหยื่อ มีอายุย้อนไปถึงปี 2017 และดูเหมือนว่าจะเป็น เกี่ยวข้องกับกลุ่มจารกรรมทางไซเบอร์ของรัสเซียกลุ่มเดียว
Ryan Sherstobitoff รองประธานฝ่ายวิจัยและข่าวกรองภัยคุกคามทางไซเบอร์ของ SecurityScorecard ระบุว่า Teardrop ถูกใช้ในปฏิบัติการอื่นๆ ของ APT ก่อน SolarWinds โดยระบุกรอบเวลาก่อนหน้านี้ที่เกี่ยวข้องกับมัลแวร์
Teardrop ซึ่งถูกตั้งชื่อโดย FireEye ในการวิเคราะห์มัลแวร์ ถูกใช้เพื่อเรียกใช้ Cobalt Strike BEACON ซึ่งเป็นเครื่องมือสั่งการและควบคุม (C2) ในชุดเครื่องมือโอเพนซอร์ส Cobalt Strike ที่ผู้โจมตีใช้ ซึ่งน่าจะเป็นวิธีการอำพราง กิจกรรมของพวกเขา
ไฟร์อายก่อน ออกสู่สาธารณะในเดือนธันวาคม เกี่ยวกับการโจมตีที่ได้รับจากการอัปเดตซอฟต์แวร์ที่เป็นอันตรายสำหรับซอฟต์แวร์ SolarWinds Orion และเครื่องมือทีมสีแดงถูกขโมยในการโจมตี ในขั้นต้น FireEye อธิบาย Teardrop — เพย์โหลดไฟล์ไดนามิกลิงก์ไลบรารี (DLL) ที่ส่งผ่าน Sunburst Trojan (มัลแวร์ขั้นตอนแรกในการโจมตี) — เป็นมัลแวร์ที่ไม่ตรงกับที่เคยเห็นมาก่อน
“TEARDROP ไม่มีโค้ดทับซ้อนกับมัลแวร์ที่เคยเห็นมาก่อนหน้านี้” FireEye เขียนไว้ในรายละเอียด รายงานเดือนธันวาคม บนมัลแวร์ SolarWinds
แต่ Sherstobitoff กล่าวว่า C2 telemetry ที่ทีมของเขาพบแสดงให้เห็นว่า Teardrop ไม่จำเป็นต้องสร้างขึ้นเพื่อการโจมตี SolarWinds เท่านั้น ซึ่งเริ่มต้นในปี 2020 แต่ให้ดำเนินการทดสอบในเดือนตุลาคม 2019 “มันทำให้ไทม์ไลน์เร็วขึ้นมากเร็วกว่าที่ผู้คนสงสัย” เขาพูดว่า.
ทีมของเขายังยืนยันด้วยว่าผู้โจมตีที่อยู่เบื้องหลัง SolarWinds เป็นกลุ่ม APT เดียวในรัสเซียที่กำหนดเป้าหมายไปยังองค์กรในสหรัฐฯ เช่นเดียวกับผู้ให้บริการด้านความปลอดภัยรายอื่น SecurityScorecard จะไม่ระบุชื่อ แต่ผู้เชี่ยวชาญคาดการณ์ว่าเป็นฝีมือของ Russian SVR และทีมแฮ็คที่รู้จักกันในชื่อ Cozy Bear
นักวิจัยพบว่าองค์กรเหยื่อประมาณ 95% อยู่ในสหรัฐอเมริกา และพวกเขาย้ำว่าน่าจะเป็นแคมเปญจารกรรมทางไซเบอร์ตามที่ผู้เชี่ยวชาญส่วนใหญ่เชื่อ ถึงกระนั้น Sherstobitoff กล่าวว่าเพราะ Teardrop เปิดประตูลับให้กับองค์กรเหยื่อ ความกลัวก็คือว่ามันสามารถนำมาใช้เพื่อลดปริมาณข้อมูลที่เป็นอันตรายอื่นๆ ได้ Teardrop ส่วนใหญ่ใช้เพื่อ "ลายนิ้วมือ" และสร้างโปรไฟล์ระบบและเครือข่ายของเหยื่อ
“ความท้าทายคือ มีรากฟันเทียมระยะที่สามหรือสี่ที่เราไม่รู้หรือไม่? พวกเขาอาจจะกำหนดเองอย่างมาก” เขากล่าว
รหัสQL
ในขณะเดียวกัน การเปิดตัว CodeQL ของ Microsoft ในวันนี้ สามารถช่วยขจัดโค้ดโจมตีที่อาจฝังลึกในเครือข่ายของเหยื่อได้
“ทุกสิ่งที่สามารถค้นหาพฤติกรรมหรือสิ่งประดิษฐ์ระดับโฮสต์จะช่วย [ค้นหา] ว่ามีการประนีประนอมจาก Teardrop หรือ Sunburst หรือไม่ เพราะคำสั่งและการควบคุม ณ จุดนี้มีแนวโน้มว่าจะออฟไลน์มากที่สุด” Sherstobitoff กล่าว
ไมโครซอฟท์กล่าวว่า การเปิดตัวโอเพ่นซอร์ส เป็นความพยายามที่จะแบ่งปันสิ่งที่ค้นพบเกี่ยวกับการโจมตีของมัลแวร์ที่เรียกว่า Solorigate
“ด้วยความซับซ้อนที่เพิ่มขึ้นของการโจมตีเช่น Solorigate ชุมชนความปลอดภัยจะต้องทำงานร่วมกันอย่างโปร่งใสเพื่อแบ่งปันการเรียนรู้หากเป็นไปได้จึงมีความสำคัญมากกว่าที่เคย เนื่องจากตรวจพบการโจมตีเหล่านี้ เราได้ทำงานเบื้องหลังอย่างใกล้ชิดกับชุมชนความปลอดภัยและได้เผยแพร่ การอัปเดตทางเทคนิคและเครื่องมือ เพื่อเพิ่มขีดความสามารถให้กับผู้พิทักษ์” โฆษกของ Microsoft กล่าว “โอเพ่นซอร์สของการสืบค้น CodeQL เป็นอีกตัวอย่างหนึ่งของเทคนิคการแบ่งปันที่ Microsoft พบว่ามีประโยชน์สามารถช่วยให้ผู้ปกป้องได้เปรียบที่พวกเขาต้องการเพื่อช่วยป้องกันการโจมตีที่ซับซ้อน”
Kelly Jackson Higgins เป็นบรรณาธิการบริหารของ Dark Reading เธอเป็นทหารผ่านศึกด้านเทคโนโลยีและนักข่าวธุรกิจที่ได้รับรางวัล โดยมีประสบการณ์มากกว่าสองทศวรรษในการรายงานและแก้ไขสิ่งพิมพ์ต่างๆ รวมถึง Network Computing, Secure Enterprise … ดูประวัติเต็ม
การอ่านหนังสือที่แนะนำ:
ข้อมูลเชิงลึกเพิ่มเติม
