Solarwinds hack - Kaspersky dice la connessione tra Sunburst e Kazuar

Gli esperti di sicurezza IT dell'azienda Kaspersky vedono, secondo un Blog post al recente Vento solare hackeraggioche ha infiltrato la NASA, il Pentagono e altri obiettivi sensibili, ha una connessione con il malware Kazuar. Analizzando la backdoor Sunburst, i ricercatori hanno trovato diverse caratteristiche che erano già utilizzate nella backdoor Kazuar creata nel .NET Framework.

"Le somiglianze nel codice indicano una connessione tra Kazuar e Sunburst, anche se di natura ancora indeterminata".

Kaspersky

Malware Kazuar noto dal 2017

Secondo Kaspersky, il malware Kazuar è stato scoperto per la prima volta nel 2017 ed è stato probabilmente sviluppato dall'attore di APT Turla, che avrebbe usato Kazuar per condurre spionaggio informatico in tutto il mondo. Diverse centinaia di obiettivi militari e governativi sarebbero stati infiltrati nel processo. Turla è stato segnalato per la prima volta da Kaspersky e Symantec alla conferenza Black Hat 2014 a Las Vegas.

Kazuar Periodo di sviluppo (fonte: securelist.com)

Ciò non significa tuttavia che Turla sia automaticamente responsabile anche dell'hackeraggio di Solarwinds, in cui 18.000 agenzie governative, aziende e organizzazioni sono state attaccate tramite una versione trojanizzata del software di gestione IT Orion.

Algoritmo di generazione, algoritmo di risveglio e hash FNV1a

Secondo l'analisi di Kaspersky, le somiglianze più evidenti tra Sunburst e Kazuar sono l'algoritmo di risveglio, l'algoritmo di generazione dell'ID della vittima e l'uso dell'hashish FNV1a. Il codice utilizzato in questi casi ha grandi somiglianze, ma non è completamente identico. Sunburst e Kazuar sembrano quindi essere "correlati", ma non sono ancora stati determinati i dettagli dell'esatta relazione tra i due malwares.

Una probabile spiegazione è che Sunburst e Kazuar siano stati scritti dagli stessi sviluppatori. Tuttavia, potrebbe anche essere che Sunburst sia stato sviluppato da un altro gruppo che ha utilizzato il malware di successo Kazuar come modello. C'è anche la possibilità che singoli sviluppatori del gruppo di sviluppo Kazuar si uniscano al team di Sunburst.

Operazione di falsa bandiera

Tuttavia, è anche possibile che le somiglianze tra Kazuar e Sunburst siano state create intenzionalmente per creare false piste nelle analisi del malware previste.

"Il link trovato non rivela chi c'era dietro l'attacco dei venti solari, ma offre ulteriori informazioni che possono aiutare i ricercatori a portare avanti questa analisi".

Costin Raiu

Articoli attuali