Solarwinds hack - Kaspersky ütleb, et Sunburst ja Kazuar on omavahel seotud

IT-turbe eksperdid firma Kaspersky vt vastavalt Blogipostitus hiljutisel Solarwinds hackmis tungis NASA-sse, Pentagoni ja muudesse tundlikesse sihtkohtadesse, on seotud Kazuari pahavaraga. Analüüsides Sunbursti tagauksi, leidsid teadlased mitmeid funktsioone, mida kasutati juba .NET raamistikus loodud Kazuari tagaukses.

Kazuari pahavara on teada alates 2017. aastast

Kaspersky andmetel avastati Kazuari pahavara esimest korda 2017. aastal ja selle töötas tõenäoliselt välja APT-tegur Turla, kes väidetavalt kasutas Kazuari küberspionaaži läbiviimiseks kogu maailmas. Väidetavalt tungiti selle käigus mitusada sõjalist ja valitsuse sihtmärki. Turla kohta teatasid Kaspersky ja Symantec esimest korda Black Hat 2014 konverentsil Vegases.

See ei tähenda siiski automaatselt, et Turla vastutab ka Solarwindsi häkkimise eest, mille käigus rünnati 18 000 valitsusasutust, ettevõtet ja organisatsiooni Orion IT-haldustarkvara trooja versiooniga.

Genereerimisalgoritm, äratamisalgoritm ja FNV1a hash

Kaspersky analüüsi kohaselt on kõige silmatorkavamad sarnasused Sunbursti ja Kazuari vahel äratamisalgoritm, ohvri ID loomise algoritm ja FNV1a hashi kasutamine. Nendel juhtudel kasutatav kood on väga sarnane, kuid ei ole täiesti identne. Sunburst ja Kazuar näivad seega olevat "seotud", kuid kahe pahavara täpne seos ei ole veel kindlaks tehtud.

Üks tõenäoline seletus on see, et Sunbursti ja Kazuari kirjutasid samad arendajad. Siiski võib olla ka nii, et Sunbursti töötas välja teine rühm, kes kasutas eduka Kazuari pahavara eeskujuks. Samuti on võimalik, et Kazuari arendusgrupi üksikud arendajad liitusid Sunbursti meeskonnaga.

Vale lipuoperatsioon

Siiski on ka võimalik, et Kazuari ja Sunbursti sarnasused olid tahtlikult sisse ehitatud, et luua valesid vihjeid oodatavates pahavara analüüsides.