Според експерт по ИТ сигурност от компанията Kaspersky Блог публикация на скорошния Solarwinds хаккойто проникна в НАСА, Пентагона и други чувствителни цели, беше свързан със зловредния софтуер Kazuar. При анализа на Sunburst backdoor изследователите откриват различни функции, които вече са били използвани в Kazuar backdoor, създаден в .NET Framework.
Зловредният софтуер Kazuar е известен от 2017 г.
Според Kaspersky зловредният софтуер Kazuar е открит за първи път през 2017 г. и вероятно е разработен от APT актьора Turla, за когото се твърди, че е извършвал кибершпионаж по целия свят с помощта на Kazuar. Твърди се, че по време на процеса са проникнали в няколкостотин военни и правителствени обекта. За първи път за Turla съобщиха Kaspersky и Symantec на конференцията Black Hat 2014 във Вегас.
Това обаче не означава автоматично, че Turla е отговорна и за хакерската атака срещу Solarwinds, при която 18 000 органи, компании и организации бяха атакувани чрез троянски софтуер за управление на ИТ Orion.
Алгоритъм за генериране, алгоритъм за събуждане и хеш на FNV1a
Според анализа на Kaspersky най-ярките прилики между Sunburst и Kazuar са алгоритъмът за събуждане, алгоритъмът за генериране на идентификатор на жертвата и използването на хеш код FNV1a. Кодът, използван в тези случаи, има големи прилики, но не е напълно идентичен. Следователно Sunburst и Kazuar изглеждат "свързани", но все още не могат да бъдат определени подробности за точната връзка между двата зловредни софтуера.
Вероятното обяснение е, че Sunburst и Kazuar са написани от едни и същи разработчици. Възможно е обаче Sunburst да е разработен от друга група, която е използвала успешния зловреден софтуер Kazuar като шаблон. Съществува и възможността отделни разработчици от групата Kazuar да са се присъединили към екипа на Sunburst.
Операция под фалшив флаг
Възможно е обаче приликите между Kazuar и Sunburst да са били умишлено вградени, за да се създадат фалшиви индикации при очакваните анализи на зловреден софтуер.