Saskaņā ar uzņēmuma Kaspersky IT drošības eksperta teikto. Bloga ieraksts nesen notikušajā Solarwinds kapātkas iefiltrējās NASA, Pentagonā un citos sensitīvos objektos, bija saistīts ar ļaunprogrammatūru Kazuar. Analizējot Sunburst backdoor, pētnieki atklāja dažādas funkcijas, kas jau tika izmantotas Kazuar backdoor, kurš tika izveidots ar .NET Framework.
"Līdzības kodā norādīja uz saikni starp Kazuar un Sunburst, lai gan pagaidām nenoskaidrota rakstura."
Kaspersky
Kazuar ļaunprātīga programmatūra zināma kopš 2017
Saskaņā ar Kaspersky sniegto informāciju Kazuar ļaunprogrammatūra pirmo reizi tika atklāta 2017. gadā, un to, iespējams, izstrādājis APT dalībnieks Turla, kurš, iespējams, ar Kazuar palīdzību veicis kiberspiegošanu visā pasaulē. Tiek apgalvots, ka šajā procesā ir iefiltrējušies vairāki simti militāro un valdības mērķu. Par Turla pirmo reizi ziņoja Kaspersky un Symantec konferencē Black Hat 2014 Vegasā.
Tomēr tas automātiski nenozīmē, ka Turla ir atbildīga arī par Solarwinds uzlaušanu, kurā 18 000 iestāžu, uzņēmumu un organizāciju tika uzbrukts, izmantojot IT pārvaldības programmatūras Orion Trojas zirgu versiju.
Ģenerēšanas algoritms, modināšanas algoritms un FNV1a hash
Saskaņā ar Kaspersky veikto analīzi visspilgtākās līdzības starp Sunburst un Kazuar ir pamošanās algoritms, upura ID ģenerēšanas algoritms un FNV1a heša izmantošana. Šajos gadījumos izmantotais kods ir ļoti līdzīgs, taču nav pilnīgi identisks. Tāpēc šķiet, ka Sunburst un Kazuar ir "saistīti", taču precīzu informāciju par abu ļaunprogrammatūru saistību pagaidām nav iespējams noteikt.
Visticamāk, izskaidrojums ir tāds, ka Sunburst un Kazuar rakstīja vieni un tie paši izstrādātāji. Tomēr iespējams, ka Sunburst ir izstrādājusi cita grupa, kas par paraugu izmantoja veiksmīgo ļaunprātīgo programmatūru Kazuar. Pastāv arī iespēja, ka Sunburst komandai ir pievienojušies atsevišķi Kazuar grupas izstrādātāji.
Viltus karoga operācija
Tomēr ir iespējams, ka Kazuar un Sunburst līdzības tika iestrādātas apzināti, lai sagaidāmās ļaunprātīgās programmatūras analīzēs radītu nepatiesas norādes.
"Atrastā saite neatklāj, kas stāv aiz Solarwinds uzbrukuma, bet piedāvā papildu ieskatu, kas var palīdzēt pētniekiem turpināt šo analīzi.""
Costin Raiu
