En diciembre del año pasado, los medios cubrieron el incidente de seguridad de Sunburst. El actor avanzado de amenazas persistentes (APT) DarkHalo había comprometido a un proveedor de software empresarial ampliamente utilizado y había utilizado su infraestructura durante mucho tiempo para distribuir software espía bajo la apariencia de actualizaciones de software legítimas. Sin embargo, después de la exageración de los medios y una búsqueda intensiva de la comunidad de seguridad, DarkHalo parecía haberse vuelto invisible o desconectado, pero...
Kaspersky dice que la amenaza aún puede estar latente. Ya que su equipo de Investigación y Análisis Global (GReAT) encontró en junio pasado rastros de un exitoso ataque de secuestro de DNS contra varias organizaciones gubernamentales en el mismo país. En el caso al que accedió la empresa rusa, los objetivos del ataque intentaban acceder a la interfaz web de un servicio de correo electrónico corporativo, pero fueron redirigidos a una copia falsa de esa interfaz web y luego engañados para que descargaran una actualización de software malicioso.
Kaspersky fue quien recuperó la "actualización" de estos ataques y descubrió que implementó una puerta trasera desconocida, ahora conocida como Tomiris. Esta puerta trasera tendría el objetivo de ingresar al sistema atacado y descargar otros componentes maliciosos. Kaspesrsky notó cómo la puerta trasera de Tomiris se parecía sospechosamente a Sunshuttle, el malware desplegado en el ataque Sunburst.
La empresa ha encontrado varias similitudes sorprendentes. Al igual que Sunshuttle, Tomiris se había desarrollado en el lenguaje de programación Go. Ambos se basan en tareas programadas para la persistencia, utilizan aleatoriedad y retrasos para ocultar sus actividades y tienen un flujo de trabajo muy similar, además, Tomiris también muestra algunos errores de inglés en sus cadenas, lo que lleva a pensar que no ha sido creado por personas que hablan. este idioma de forma nativa.
Finalmente, la puerta trasera de Tomiris se descubrió en redes donde otras máquinas estaban infectadas con Kazuar, una puerta trasera conocida por su código de puerta trasera Sunburst que se superpone. Lo mejor que podemos afrontar estas situaciones es tomar medidas de seguridad y también recordar que esta amenaza tiene como objetivo a las empresas y por eso es aún más importante tomar medidas de seguridad por su parte.
