Solarwinds hack - Kaspersky siger, at der er en forbindelse mellem Sunburst og Kazuar

Ifølge en it-sikkerhedsekspert fra firmaet Kaspersky er den Blogindlæg på den nylige Solarwinds hacksom infiltrerede NASA, Pentagon og andre følsomme mål, var forbundet med Kazuar-malware. Ved analysen af Sunburst-bagdøren fandt forskerne forskellige funktioner, som allerede blev brugt i Kazuar-bagdøren, der er skabt i .NET Framework.

Kazuar malware kendt siden 2017

Ifølge Kaspersky blev Kazuar-malwaren først opdaget i 2017 og blev sandsynligvis udviklet af APT-aktøren Turla, som siges at have udført cyberspionage rundt om i verden ved hjælp af Kazuar. Flere hundrede militære og statslige mål siges at være blevet infiltreret i processen. Turla blev først rapporteret af Kaspersky og Symantec på Black Hat 2014-konferencen i Vegas.

Det betyder dog ikke automatisk, at Turla også er ansvarlig for Solarwinds-hacket, hvor 18.000 myndigheder, virksomheder og organisationer blev angrebet via en trojaniseret version af it-styringsprogrammet Orion.

Genereringsalgoritme, wake-up-algoritme og FNV1a hash

Ifølge Kaspersky-analysen er de mest slående ligheder mellem Sunburst og Kazuar wake-up-algoritmen, algoritmen til generering af offer-ID og brugen af FNV1a-hash. Den kode, der anvendes i disse tilfælde, har store ligheder, men er ikke helt identisk. Sunburst og Kazuar ser derfor ud til at være "relateret", men det er endnu ikke muligt at få nærmere oplysninger om den nøjagtige relation mellem de to skadelige programmer.

En sandsynlig forklaring er, at Sunburst og Kazuar blev skrevet af de samme udviklere. Det kan dog også være, at Sunburst er udviklet af en anden gruppe, der har brugt den vellykkede Kazuar-malware som skabelon. Der er også mulighed for, at enkelte udviklere fra Kazuar-gruppen har sluttet sig til Sunburst-teamet.

Operation under falsk flag

Det er dog også muligt, at lighederne mellem Kazuar og Sunburst bevidst blev indbygget for at skabe falske indikationer i de forventede malware-analyser.