Kaspersky-yhtiön tietoturva-asiantuntijan mukaan tietoturva-alan Blogikirjoitus äskettäisessä Solarwindsin hakkerointijoka tunkeutui NASAan, Pentagoniin ja muihin arkaluonteisiin kohteisiin, oli yhteydessä Kazuar-haittaohjelmaan. Analysoidessaan Sunburst-haittaovea tutkijat löysivät useita toimintoja, joita käytettiin jo .NET Frameworkilla luodussa Kazuar-haittaovessa.
"Koodin samankaltaisuudet viittasivat Kazuarin ja Sunburstin väliseen yhteyteen, vaikkakin toistaiseksi määrittelemättömään."
Kaspersky
Kazuar-haittaohjelma tunnettu vuodesta 2017
Kasperskyn mukaan Kazuar-haittaohjelma löydettiin ensimmäisen kerran vuonna 2017, ja sen on todennäköisesti kehittänyt APT-toimija Turla, jonka sanotaan harjoittaneen verkkovakoilua ympäri maailmaa Kazuarin avulla. Useiden satojen sotilas- ja hallituskohteiden sanotaan soluttautuneen prosessin aikana. Kaspersky ja Symantec kertoivat Turlasta ensimmäisen kerran Black Hat 2014 -konferenssissa Vegasissa.
Tämä ei kuitenkaan automaattisesti tarkoita, että Turla olisi vastuussa myös Solarwinds-hakkerista, jossa 18 000 viranomaista, yritystä ja organisaatiota joutui hyökkäyksen kohteeksi IT-hallintaohjelmisto Orionin troijalaisella versiolla.
Generaatioalgoritmi, herätysalgoritmi ja FNV1a hash -algoritmi
Kasperskyn analyysin mukaan Sunburstin ja Kazuarin silmiinpistävimmät yhtäläisyydet ovat herätysalgoritmi, uhritunnuksen luomisalgoritmi ja FNV1a-hashin käyttö. Näissä tapauksissa käytetyllä koodilla on paljon yhtäläisyyksiä, mutta se ei ole täysin identtinen. Sunburst ja Kazuar näyttävät siis olevan "sukua", mutta näiden kahden haittaohjelman tarkkaa suhdetta ei ole vielä pystytty määrittämään.
Todennäköinen selitys on, että Sunburstin ja Kazuarin ovat kirjoittaneet samat kehittäjät. Voi kuitenkin myös olla, että Sunburstin on kehittänyt eri ryhmä, joka on käyttänyt mallina menestyksekästä Kazuar-haittaohjelmaa. On myös mahdollista, että yksittäisiä kehittäjiä Kazuar-ryhmästä on liittynyt Sunburstin tiimiin.
Väärän lipun operaatio
On kuitenkin myös mahdollista, että Kazuarin ja Sunburstin väliset yhtäläisyydet on tarkoituksellisesti rakennettu, jotta odotettavissa olevissa haittaohjelma-analyyseissä saataisiin vääriä viitteitä.
"Löydetty linkki ei paljasta, kuka on Solarwinds-hyökkäyksen takana, mutta tarjoaa lisätietoa, joka voi auttaa tutkijoita jatkamaan analyysia."
Costin Raiu
