カスペルスキー社からのITセキュリティの専門家は、によると、参照してください。 ブログ記事まとめ 此の間 ソーラーウィンズハックNASAや国防総省などの機密ターゲットに潜入したカズアマルウェアとの関連性があります。Sunburstバックドアを分析したところ、研究者たちは、.NET Frameworkで作成されたKazuarバックドアですでに使用されているいくつかの機能を発見しました。
"コードの類似性は カズアとサンバーストの関係を示唆していた 未確定ではあるが"
カスペルスキー
2017年から知られているKazuarマルウェア
カスペルスキーによると、Kazuarマルウェアは2017年に初めて発見され、Kazuarを使って世界中でサイバースパイ活動を行っていたとされるAPTの俳優Turlaが開発した可能性が高いという。その過程で数百人の軍人や政府関係者が潜入したと報告されています。Turlaは、ラスベガスで開催されたBlack Hat 2014のカンファレンスで、KasperskyとSymantecが最初に報告した。
しかし、これは自動的にTurlaがIT管理ソフトウェア「Orion」のトロイの木馬化版を介して1万8000の政府機関や企業、組織が攻撃を受けたSolarwindsハッキングの責任者でもあることを意味するものではありません。
生成アルゴリズム、ウェイクアップアルゴリズムおよびFNV1aハッシュ
カスペルスキーの分析によると、SunburstとKazuarの最も顕著な類似点は、ウェイクアップアルゴリズム、被害者ID生成アルゴリズム、FNV1aハッシュの使用だという。これらの場合に使用されるコードには大きな類似性がありますが、完全に同一ではありません。そのため、SunburstとKazuarは「関連している」ように見えるが、2つのマルウェアの正確な関係の詳細はまだ明らかにされていない。
一つ考えられるのは、SunburstとKazuarが同じ開発者によって書かれたということです。しかし、Sunburstは成功したKazuarのマルウェアをテンプレートにした別のグループが開発したという可能性もあります。また、Kazuar開発グループの個人開発者がSunburstチームに参加した可能性もあります。
偽旗作戦
しかし、予想されていたマルウェアの分析に偽のリードを仕掛けるために、カズアとサンバーストの類似性を意図的に組み込んだ可能性もあります。
"発見されたリンクは、ソーラーウィンズの攻撃の背後にいる人物を明らかにするものではありませんが、研究者がこの分析をさらに進めるのに役立つ、さらなる洞察を提供しています。"
コスティンライウ
