A Kaspersky cég informatikai biztonsági szakértője szerint a Kaspersky, egy Blogbejegyzés a közelmúltban megrendezett Solarwinds hackamely a NASA, a Pentagon és más érzékeny célpontokba is beszivárgott, a Kazuar malware-hez kapcsolódott. A Sunburst backdoor elemzésekor a kutatók különböző olyan funkciókat találtak, amelyeket már a .NET Frameworkben létrehozott Kazuar backdoorban is használtak.
"A kódban lévő hasonlóságok a Kazuar és a Sunburst közötti, bár egyelőre meghatározatlan természetű kapcsolatra utaltak."
Kaspersky
Kazuar malware ismert 2017 óta
A Kaspersky szerint a Kazuar malware-t először 2017-ben fedezték fel, és valószínűleg a Turla APT-szereplő fejlesztette ki, aki a Kazuar segítségével állítólag világszerte kiberkémkedést hajtott végre. Állítólag több száz katonai és kormányzati célpontba szivárogtak be a folyamat során. A Turla-t először a Kaspersky és a Symantec jelentette be a Black Hat 2014 konferencián Vegasban.
Ez azonban nem jelenti automatikusan azt, hogy a Turla felelős a Solarwinds hackeléséért is, amelyben 18 000 hatóságot, vállalatot és szervezetet támadtak meg az Orion informatikai menedzsment szoftver trójai vírusos változatán keresztül.
Generáló algoritmus, ébresztő algoritmus és FNV1a hash
A Kaspersky elemzése szerint a Sunburst és a Kazuar közötti legszembetűnőbb hasonlóságok az ébresztési algoritmus, az áldozatazonosító generáló algoritmus és az FNV1a hash használata. Az ezekben az esetekben használt kód nagy hasonlóságot mutat, de nem teljesen azonos. A Sunburst és a Kazuar tehát úgy tűnik, hogy "rokonok", de a két kártevő pontos kapcsolatát még nem sikerült meghatározni.
A valószínű magyarázat az, hogy a Sunburst és a Kazuar ugyanazok a fejlesztők írták. Az is lehet azonban, hogy a Sunburst-et egy másik csoport fejlesztette ki, amely a sikeres Kazuar malware-t használta sablonként. Az is elképzelhető, hogy a Kazuar csoport egyes fejlesztői csatlakoztak a Sunburst csapatához.
Hamis zászlós művelet
Az is lehetséges azonban, hogy a Kazuar és a Sunburst közötti hasonlóságokat szándékosan építették be, hogy hamis jelzéseket adjanak a várható rosszindulatú programok elemzése során.
"A megtalált kapcsolat nem árulja el, hogy ki áll a Solarwinds támadása mögött, de további betekintést nyújt, amely segíthet a kutatóknak az elemzés továbbvitelében."
Costin Raiu
