Solarwinds хак - Kaspersky казва, че връзката между Sunburst и Kazuar

Според експерт по ИТ сигурност от компанията Kaspersky Блог публикация на скорошния Solarwinds хаккойто проникна в НАСА, Пентагона и други чувствителни цели, беше свързан със зловредния софтуер Kazuar. При анализа на Sunburst backdoor изследователите откриват различни функции, които вече са били използвани в Kazuar backdoor, създаден в .NET Framework.

"Сходствата в кода сочат връзка между Казуар и Сънбърст, макар и с все още неопределен характер."

Kaspersky

Зловредният софтуер Kazuar е известен от 2017 г.

Според Kaspersky зловредният софтуер Kazuar е открит за първи път през 2017 г. и вероятно е разработен от APT актьора Turla, за когото се твърди, че е извършвал кибершпионаж по целия свят с помощта на Kazuar. Твърди се, че по време на процеса са проникнали в няколкостотин военни и правителствени обекта. За първи път за Turla съобщиха Kaspersky и Symantec на конференцията Black Hat 2014 във Вегас.

Kazuar Период на разработка (източник: securelist.com)

Това обаче не означава автоматично, че Turla е отговорна и за хакерската атака срещу Solarwinds, при която 18 000 органи, компании и организации бяха атакувани чрез троянски софтуер за управление на ИТ Orion.

Алгоритъм за генериране, алгоритъм за събуждане и хеш на FNV1a

Според анализа на Kaspersky най-ярките прилики между Sunburst и Kazuar са алгоритъмът за събуждане, алгоритъмът за генериране на идентификатор на жертвата и използването на хеш код FNV1a. Кодът, използван в тези случаи, има големи прилики, но не е напълно идентичен. Следователно Sunburst и Kazuar изглеждат "свързани", но все още не могат да бъдат определени подробности за точната връзка между двата зловредни софтуера.

Вероятното обяснение е, че Sunburst и Kazuar са написани от едни и същи разработчици. Възможно е обаче Sunburst да е разработен от друга група, която е използвала успешния зловреден софтуер Kazuar като шаблон. Съществува и възможността отделни разработчици от групата Kazuar да са се присъединили към екипа на Sunburst.

Операция под фалшив флаг

Възможно е обаче приликите между Kazuar и Sunburst да са били умишлено вградени, за да се създадат фалшиви индикации при очакваните анализи на зловреден софтуер.

"Намерената връзка не разкрива кой стои зад атаката на Solarwinds, но предлага допълнителна информация, която може да помогне на изследователите да продължат този анализ."

Костин Райу

Текущи статии

Обща информация

Открийте перфектния уеб хостинг за вашите онлайн инструменти за графики

Представете си дигитална работилница, в която потоците от данни се стичат от всички краища и накрая завършват в красиви диаграми. Онлайн инструментите за създаване на диаграми са съвременните четки за рисуване и

Без категория

Защо оптимизацията на времето за зареждане е от значение за конверсиите ви

В днешната дигитална ера интернет потребителите очакват светкавично бързо изживяване, когато посещават даден уебсайт. Дългото време за зареждане не само води до лошо потребителско изживяване, но и може да

Обща информация

Ефективно управление на сигурността: ръководство за сигурен уеб хостинг

Уеб хостингът е в основата на всяко онлайн присъствие. Това се отнася за лични блогове, бизнес уебсайтове на хора на свободна практика, както и за уебсайтове на цели компании. В момента, в който