Under efterforskningen af en, endnu ukendt, avanceret vedvarende trussel (APT) har Kasperskys it-sikkerhedsefterforskere fundet en ny malware, der potentielt kan forbindes med hackergruppen DarkHalo, som stod bag Sunburst-malwaren, der blandt flere blev brugt i SolarWinds-hacket.

SolarWinds-hacket ramte overskrifterne i december 2020, og det blev hurtigt klart, at én af de malware-typer, der blev brugt, var Sunburst fra hackergruppen DarkHalo. Da spotlyset ramte hackergruppen, lagde de den tilsyneladende i dvale; den gik i hvert fald offline. Nye undersøgelser udført af Kasperskys Global Research and Analysis Team, GReAT, viser nu, at de måske er i gang igen.

I juni 2021, mere end seks måneder efter DarkHalo gik offline, fandt Kaspersky spor efter et vellykket DNS-kapringsangreb mod flere statslige organisationer. DNS-hijacking er en type ondsindet angreb, hvor et domænenavn (der bruges til at forbinde URL-adressen på et websted med IP-adressen på den server, hvor webstedet er hostet) ændres, så netværkstrafikken omdirigeres til en server, der er kontrolleret af hackerne. Herfra forsøgte medarbejdere i de statslige organisationer at få adgang til web-interfacet til virksomhedens e-mailtjeneste, men blev omdirigeret til en falsk kopi af web-interfacet og derefter narret til at downloade en ondsindet softwareopdatering.

Kasperskys it-sikkerhedsefterforskere har nu fundet, at denne "opdatering" indeholder en hidtil ukendt bagdør, som de har navngivet Tomiris. Tomiris-bagdøren ligner mistænkeligt meget en af de andre malwaretyper, der også blev brugt i SolarWinds-hacket, Sunshuttle.

- De forskellige elementer, der går igen i både Tomiris-bagdøren og Sunshuttle kan være tilfældige, men sammen antyder de et muligt fælles ophav eller fælles udviklingspraksis, siger Pierre Delcher, der er it-sikkerhedsefterforsker hos Kaspersky.

- Hvis de to er forbundet, kaster det nyt lys over den måde, som hackergrupper genopbygger deres forretning på. Vi vil derfor gerne opfordre andre it-sikkerhedsresearchere til at reproducere vores efterforskning, tilføjer Ivan Kwiatkowski, it-sikkerhedsefterforsker hos Kaspersky.