IT-beveiligingsexperts van het bedrijf Kaspersky zien, volgens een Blogbericht op de recente Zonnewind hackdie NASA, het Pentagon en andere gevoelige doelen infiltreerde, heeft een connectie met de Kazuar malware. Bij het analyseren van de Sunburst-backdoor vonden de onderzoekers verschillende kenmerken die ook al werden gebruikt in de Kazuar-backdoor die in het .NET Framework was gemaakt.
"Overeenkomsten in de code duiden op een verband tussen Kazuar en Sunburst, zij het van nog niet nader bepaalde aard."
Kaspersky
Kazuar-malware bekend sinds 2017
Volgens Kaspersky werd de Kazuar-malware voor het eerst ontdekt in 2017 en werd deze waarschijnlijk ontwikkeld door APT-acteur Turla, die Kazuar zou hebben gebruikt om wereldwijd cyberspionage te bedrijven. Enkele honderden militaire en overheidsdoelen zijn naar verluidt geïnfiltreerd in het proces. Turla werd voor het eerst gerapporteerd door Kaspersky en Symantec op de Black Hat 2014 conferentie in Vegas.
Dit betekent echter niet automatisch dat Turla ook verantwoordelijk is voor de Solarwinds hack, waarbij 18.000 overheidsinstellingen, bedrijven en organisaties werden aangevallen via een Trojaanse versie van de Orion IT-beheersoftware.
Generatie-algoritme, wake-up-algoritme en FNV1a-hasj
Volgens de Kaspersky-analyse zijn de meest opvallende overeenkomsten tussen Sunburst en Kazuar het wekalgoritme, het slachtoffer-ID-generatiealgoritme en het gebruik van de FNV1a-hasj. De code die in deze gevallen wordt gebruikt heeft grote overeenkomsten, maar is niet volledig identiek. Sunburst en Kazuar lijken dus "verwant" te zijn, maar de precieze relatie tussen de twee malwares is nog niet vastgesteld.
Een waarschijnlijke verklaring is dat Sunburst en Kazuar door dezelfde ontwikkelaars zijn geschreven. Het kan echter ook zijn dat Sunburst is ontwikkeld door een andere groep die de succesvolle Kazuar-malware als sjabloon heeft gebruikt. Er is ook de mogelijkheid dat individuele ontwikkelaars van de Kazuar-ontwikkelingsgroep zich bij het Sunburst-team hebben gevoegd.
Valse vlagverrichting
Het is echter ook mogelijk dat de overeenkomsten tussen Kazuar en Sunburst opzettelijk zijn ingebouwd om valse aanknopingspunten in de verwachte malware-analyses op te zetten.
"De gevonden link onthult niet wie er achter de aanval van de Solarwinds zat, maar biedt verder inzicht dat onderzoekers kan helpen om deze analyse verder te brengen."
Costin Raiu
