Solarwindsin hakkerointi - Kaspersky sanoo Sunburstin ja Kazuarin olevan yhteydessä toisiinsa

Kaspersky-yhtiön tietoturva-asiantuntijan mukaan tietoturva-alan Blogikirjoitus äskettäisessä Solarwindsin hakkerointijoka tunkeutui NASAan, Pentagoniin ja muihin arkaluonteisiin kohteisiin, oli yhteydessä Kazuar-haittaohjelmaan. Analysoidessaan Sunburst-haittaovea tutkijat löysivät useita toimintoja, joita käytettiin jo .NET Frameworkilla luodussa Kazuar-haittaovessa.

"Koodin samankaltaisuudet viittasivat Kazuarin ja Sunburstin väliseen yhteyteen, vaikkakin toistaiseksi määrittelemättömään."

Kaspersky

Kazuar-haittaohjelma tunnettu vuodesta 2017

Kasperskyn mukaan Kazuar-haittaohjelma löydettiin ensimmäisen kerran vuonna 2017, ja sen on todennäköisesti kehittänyt APT-toimija Turla, jonka sanotaan harjoittaneen verkkovakoilua ympäri maailmaa Kazuarin avulla. Useiden satojen sotilas- ja hallituskohteiden sanotaan soluttautuneen prosessin aikana. Kaspersky ja Symantec kertoivat Turlasta ensimmäisen kerran Black Hat 2014 -konferenssissa Vegasissa.

Kazuar Kehitysvaihe (lähde: securelist.com)

Tämä ei kuitenkaan automaattisesti tarkoita, että Turla olisi vastuussa myös Solarwinds-hakkerista, jossa 18 000 viranomaista, yritystä ja organisaatiota joutui hyökkäyksen kohteeksi IT-hallintaohjelmisto Orionin troijalaisella versiolla.

Generaatioalgoritmi, herätysalgoritmi ja FNV1a hash -algoritmi

Kasperskyn analyysin mukaan Sunburstin ja Kazuarin silmiinpistävimmät yhtäläisyydet ovat herätysalgoritmi, uhritunnuksen luomisalgoritmi ja FNV1a-hashin käyttö. Näissä tapauksissa käytetyllä koodilla on paljon yhtäläisyyksiä, mutta se ei ole täysin identtinen. Sunburst ja Kazuar näyttävät siis olevan "sukua", mutta näiden kahden haittaohjelman tarkkaa suhdetta ei ole vielä pystytty määrittämään.

Todennäköinen selitys on, että Sunburstin ja Kazuarin ovat kirjoittaneet samat kehittäjät. Voi kuitenkin myös olla, että Sunburstin on kehittänyt eri ryhmä, joka on käyttänyt mallina menestyksekästä Kazuar-haittaohjelmaa. On myös mahdollista, että yksittäisiä kehittäjiä Kazuar-ryhmästä on liittynyt Sunburstin tiimiin.

Väärän lipun operaatio

On kuitenkin myös mahdollista, että Kazuarin ja Sunburstin väliset yhtäläisyydet on tarkoituksellisesti rakennettu, jotta odotettavissa olevissa haittaohjelma-analyyseissä saataisiin vääriä viitteitä.

"Löydetty linkki ei paljasta, kuka on Solarwinds-hyökkäyksen takana, mutta tarjoaa lisätietoa, joka voi auttaa tutkijoita jatkamaan analyysia."

Costin Raiu

Nykyiset artikkelit

Uncategorized

Miksi latausajan optimointi tekee eron konversioihisi

Nykypäivän digitaaliaikana internetin käyttäjät odottavat salamannopeaa käyttökokemusta vieraillessaan verkkosivustolla. Pitkät latausajat eivät ainoastaan johda huonoon käyttökokemukseen, vaan ne voivat myös aiheuttaa