Solarwinds hack - Kaspersky szerint kapcsolat a Sunburst és Kazuar között

A Kaspersky cég informatikai biztonsági szakértője szerint a Kaspersky, egy Blogbejegyzés a közelmúltban megrendezett Solarwinds hackamely a NASA, a Pentagon és más érzékeny célpontokba is beszivárgott, a Kazuar malware-hez kapcsolódott. A Sunburst backdoor elemzésekor a kutatók különböző olyan funkciókat találtak, amelyeket már a .NET Frameworkben létrehozott Kazuar backdoorban is használtak.

"A kódban lévő hasonlóságok a Kazuar és a Sunburst közötti, bár egyelőre meghatározatlan természetű kapcsolatra utaltak."

Kaspersky

Kazuar malware ismert 2017 óta

A Kaspersky szerint a Kazuar malware-t először 2017-ben fedezték fel, és valószínűleg a Turla APT-szereplő fejlesztette ki, aki a Kazuar segítségével állítólag világszerte kiberkémkedést hajtott végre. Állítólag több száz katonai és kormányzati célpontba szivárogtak be a folyamat során. A Turla-t először a Kaspersky és a Symantec jelentette be a Black Hat 2014 konferencián Vegasban.

Kazuar Fejlesztési időszak (forrás: securelist.com)

Ez azonban nem jelenti automatikusan azt, hogy a Turla felelős a Solarwinds hackeléséért is, amelyben 18 000 hatóságot, vállalatot és szervezetet támadtak meg az Orion informatikai menedzsment szoftver trójai vírusos változatán keresztül.

Generáló algoritmus, ébresztő algoritmus és FNV1a hash

A Kaspersky elemzése szerint a Sunburst és a Kazuar közötti legszembetűnőbb hasonlóságok az ébresztési algoritmus, az áldozatazonosító generáló algoritmus és az FNV1a hash használata. Az ezekben az esetekben használt kód nagy hasonlóságot mutat, de nem teljesen azonos. A Sunburst és a Kazuar tehát úgy tűnik, hogy "rokonok", de a két kártevő pontos kapcsolatát még nem sikerült meghatározni.

A valószínű magyarázat az, hogy a Sunburst és a Kazuar ugyanazok a fejlesztők írták. Az is lehet azonban, hogy a Sunburst-et egy másik csoport fejlesztette ki, amely a sikeres Kazuar malware-t használta sablonként. Az is elképzelhető, hogy a Kazuar csoport egyes fejlesztői csatlakoztak a Sunburst csapatához.

Hamis zászlós művelet

Az is lehetséges azonban, hogy a Kazuar és a Sunburst közötti hasonlóságokat szándékosan építették be, hogy hamis jelzéseket adjanak a várható rosszindulatú programok elemzése során.

"A megtalált kapcsolat nem árulja el, hogy ki áll a Solarwinds támadása mögött, de további betekintést nyújt, amely segíthet a kutatóknak az elemzés továbbvitelében."

Costin Raiu

Aktuális cikkek