Zonnewind hack - Kaspersky zegt verbinding tussen Sunburst en Kazuar

IT-beveiligingsexperts van het bedrijf Kaspersky zien, volgens een Blogbericht op de recente Zonnewind hackwaarin NASA, het Pentagon en andere gevoelige doelwitten werden geïnfiltreerd, een verbinding met de Malware Kazuar. In een analyse van de zonnestraal achterwand vonden de wetenschappers verschillende Functiesdie al zijn gebruikt in de backdoor Kazuar die in het .NET Framework is gecreëerd.

"Overeenkomsten in de code duiden op een verband tussen Kazuar en Sunburst, zij het van nog niet nader bepaalde aard."

Kaspersky

Kazuar-malware bekend sinds 2017

Volgens Kaspersky werd de Kazuar-malware voor het eerst ontdekt in 2017 en werd deze waarschijnlijk ontwikkeld door APT-acteur Turla, die Kazuar zou hebben gebruikt om wereldwijd cyberspionage te bedrijven. Enkele honderden militaire en overheidsdoelen zijn naar verluidt geïnfiltreerd in het proces. Turla werd voor het eerst gerapporteerd door Kaspersky en Symantec op de Black Hat 2014 conferentie in Vegas.

Kazuar Ontwikkelingsperiode (bron: securelist.com)

Dit betekent echter niet automatisch dat Turla ook verantwoordelijk is voor de Zonnewinden.Hackwaarbij 18.000 overheidsinstellingen, bedrijven en organisaties werden aangevallen via een Trojaanse versie van de Orion IT-managementsoftware.

Generatie-algoritme, wake-up-algoritme en FNV1a-hasj

Volgens de Kaspersky-analyse zijn de meest opvallende overeenkomsten tussen Sunburst en Kazuar het wekalgoritme, het slachtoffer-ID-generatiealgoritme en het gebruik van de FNV1a-hasj. De code die in deze gevallen wordt gebruikt heeft grote overeenkomsten, maar is niet volledig identiek. Sunburst en Kazuar lijken dus "verwant" te zijn, maar de precieze relatie tussen de twee malwares is nog niet vastgesteld.

Een waarschijnlijke verklaring is dat Sunburst en Kazuar door dezelfde ontwikkelaars zijn geschreven. Het kan echter ook zijn dat Sunburst is ontwikkeld door een andere groep die de succesvolle Kazuar-malware als sjabloon heeft gebruikt. Er is ook de mogelijkheid dat individuele ontwikkelaars van de Kazuar-ontwikkelingsgroep zich bij het Sunburst-team hebben gevoegd.

Valse vlagverrichting

Het is echter ook mogelijk dat de overeenkomsten tussen Kazuar en Sunburst opzettelijk zijn ingebouwd om valse aanknopingspunten in de verwachte malware-analyses op te zetten.

"De gevonden link onthult niet wie er achter de aanval van de Solarwinds zat, maar biedt verder inzicht dat onderzoekers kan helpen om deze analyse verder te brengen."

Costin Raiu
Gelieve de bijdrage te verdelen
Aandeel op facebook
Aandeel op twitter
Aandeel op linkedin
Aandeel op pinterest
Aandeel op whatsapp
Aandeel op telegram
Laatste berichten

Aanbevolen video's van ons Youtube-kanaal