Les experts en sécurité informatique de la société Kaspersky voient, selon un Blog post lors de la récente Le piratage des vents solairesqui a infiltré la NASA, le Pentagone et d'autres cibles sensibles, a un lien avec le malware Kazuar. En analysant la porte dérobée Sunburst, les chercheurs ont trouvé plusieurs fonctionnalités déjà utilisées dans la porte dérobée Kazuar créée dans le cadre du .NET.
"Les similitudes dans le code indiquaient un lien entre Kazuar et Sunburst, bien que de nature encore indéterminée."
Kaspersky
Malware Kazuar connu depuis 2017
Selon Kaspersky, le malware Kazuar a été découvert en 2017 et a probablement été développé par l'acteur APT Turla, qui aurait utilisé Kazuar pour mener du cyber espionnage dans le monde entier. Plusieurs centaines de cibles militaires et gouvernementales auraient été infiltrées au cours de ce processus. Turla a été présenté pour la première fois par Kaspersky et Symantec lors de la conférence Black Hat 2014 à Las Vegas.
Cependant, cela ne signifie pas automatiquement que Turla est également responsable du piratage de Solarwinds, dans lequel 18 000 agences gouvernementales, entreprises et organisations ont été attaquées via une version troyenisée du logiciel de gestion informatique Orion.
Algorithme de génération, algorithme de réveil et hachage FNV1a
Selon l'analyse de Kaspersky, les similitudes les plus frappantes entre Sunburst et Kazuar sont l'algorithme de réveil, l'algorithme de génération de l'identité de la victime et l'utilisation du hachage FNV1a. Le code utilisé dans ces cas présente de grandes similitudes, mais n'est pas totalement identique. Sunburst et Kazuar semblent donc être "liés", mais les détails de la relation exacte entre les deux malwares n'ont pas encore été déterminés.
Une explication probable est que Sunburst et Kazuar ont été écrits par les mêmes développeurs. Cependant, il se pourrait aussi que Sunburst ait été développé par un autre groupe qui a utilisé le malware Kazuar comme modèle. Il est également possible que des développeurs individuels du groupe de développement Kazuar aient rejoint l'équipe Sunburst.
Opération de faux pavillon
Cependant, il est également possible que les similitudes entre Kazuar et Sunburst aient été intentionnellement intégrées pour créer de fausses pistes dans les analyses de logiciels malveillants attendues.
"Le lien trouvé ne révèle pas qui était derrière l'attaque de Solarwinds, mais offre des informations supplémentaires qui peuvent aider les chercheurs à approfondir cette analyse".
Costin Raiu
