Los expertos en seguridad informática de la compañía Kaspersky ven, según un Entrada en el blog... en la reciente Solarwinds hackque se infiltró en la NASA, el Pentágono y otros objetivos sensibles, tiene una conexión con el malware Kazuar. Al analizar el backdoor Sunburst, los investigadores encontraron varias características que ya se utilizaban en el backdoor Kazuar creado en .NET Framework.
"Las similitudes en el código indicaban una conexión entre Kazuar y el Estallido del Sol, aunque de naturaleza aún no determinada".
Kaspersky
El malware de Kazuar se conoce desde 2017
Según Kaspersky, el malware de Kazuar fue descubierto por primera vez en 2017 y probablemente fue desarrollado por el actor de APT Turla, quien supuestamente utilizó a Kazuar para realizar ciberespionaje en todo el mundo. Se informó de que en el proceso se infiltraron varios cientos de objetivos militares y gubernamentales. Turla fue reportado por primera vez por Kaspersky y Symantec en la conferencia Black Hat 2014 en Las Vegas.
Sin embargo, esto no significa automáticamente que Turla sea también responsable del hack de Solarwinds, en el que 18.000 agencias gubernamentales, empresas y organizaciones fueron atacadas a través de una versión troyana del software de gestión de TI Orion.
Algoritmo de generación, algoritmo de activación y hash FNV1a
Según el análisis de Kaspersky, las similitudes más sorprendentes entre Sunburst y Kazuar son el algoritmo de activación, el algoritmo de generación de identificación de víctimas y el uso del hash FNV1a. El código utilizado en estos casos tiene grandes similitudes, pero no es completamente idéntico. Por lo tanto, Estallido del Sol y Kazuar parecen estar "relacionados", pero aún no se han determinado los detalles de la relación exacta entre los dos malwares.
Una explicación probable es que Estallido del Sol y Kazuar fueron escritos por los mismos desarrolladores. Sin embargo, también podría ser que Sunburst fue desarrollado por un grupo diferente que utilizó el exitoso malware de Kazuar como plantilla. También existe la posibilidad de que desarrolladores individuales del grupo de desarrollo de Kazuar se unieran al equipo de Sunburst.
Operación de Falsa Bandera
Sin embargo, también es posible que las similitudes entre Kazuar y Sunburst se hayan incorporado intencionadamente para establecer pistas falsas en los análisis de malware esperados.
"El vínculo encontrado no revela quién estaba detrás del ataque de Solarwinds, pero ofrece más información que puede ayudar a los investigadores a llevar este análisis más lejos."
Costin Raiu
