"Solarwinds" įsilaužimas - "Kaspersky" sako, kad ryšys tarp "Sunburst" ir "Kazuar

Pasak bendrovės "Kaspersky" IT saugumo eksperto. Tinklaraščio įrašas neseniai vykusiame "Solarwinds" įsilaužimaskuris įsiskverbė į NASA, Pentagoną ir kitus slaptus objektus, buvo susijęs su kenkėjiška programa "Kazuar". Analizuodami "Sunburst" galines duris, tyrėjai aptiko įvairių funkcijų, kurios jau buvo naudojamos "Kazuar" galinėse duryse, sukurtose naudojant ".NET Framework".

"Kodo panašumai rodė, kad Kazuar ir Sunburst turi ryšį, nors jo pobūdis dar nenustatytas."

Kaspersky

Kazuar kenkėjiška programinė įranga žinoma nuo 2017 m.

Pasak "Kaspersky", "Kazuar" kenkėjiška programinė įranga pirmą kartą aptikta 2017 m. ir ją tikriausiai sukūrė APT veikėjas "Turla", kuris, kaip teigiama, padedamas "Kazuar" vykdė kibernetinį šnipinėjimą visame pasaulyje. Teigiama, kad buvo įsiskverbta į kelis šimtus karinių ir vyriausybinių objektų. Apie "Turla" pirmą kartą pranešė "Kaspersky" ir "Symantec" konferencijoje "Black Hat 2014" Las Vegase.

Kazuar Kūrimo laikotarpis (šaltinis: securelist.com)

Tačiau tai automatiškai nereiškia, kad "Turla" taip pat atsakinga už įsilaužimą į "Solarwinds", kai 18 000 valdžios institucijų, įmonių ir organizacijų buvo užpultos naudojant IT valdymo programinės įrangos "Orion" versiją su Trojos arkliu.

generavimo algoritmas, žadinimo algoritmas ir FNV1a hash

Remiantis "Kaspersky" analize, ryškiausi "Sunburst" ir "Kazuar" panašumai yra pažadinimo algoritmas, aukos ID generavimo algoritmas ir FNV1a hash naudojimas. Šiais atvejais naudojamas kodas yra labai panašus, tačiau ne visiškai identiškas. Todėl atrodo, kad "Sunburst" ir "Kazuar" yra "susiję", tačiau tikslios informacijos apie šių dviejų kenkėjiškų programų ryšį kol kas nepavyko nustatyti.

Tikėtina, kad "Sunburst" ir "Kazuar" parašė tie patys kūrėjai. Tačiau taip pat gali būti, kad "Sunburst" sukūrė kita grupė, kuri pasinaudojo sėkminga kenkėjiška programa "Kazuar" kaip šablonu. Taip pat yra tikimybė, kad prie "Sunburst" komandos prisijungė atskiri "Kazuar" grupės kūrėjai.

Klaidingos vėliavos operacija

Tačiau taip pat gali būti, kad "Kazuar" ir "Sunburst" panašumai buvo įterpti sąmoningai, siekiant nustatyti klaidingus požymius atliekant numatomų kenkėjiškų programų analizę.

"Rastas ryšys neatskleidžia, kas slypi už "Solarwinds" atakos, tačiau suteikia daugiau įžvalgų, kurios gali padėti tyrėjams tęsti šią analizę."

Costin Raiu

Aktualūs straipsniai