Eksperci od bezpieczeństwa IT z firmy Kaspersky widzą, według Posterunek na blogu w ostatnim czasie Hakowanie wiatrów słonecznychktóry infiltrował NASA, Pentagon i inne wrażliwe cele, ma związek ze złośliwym oprogramowaniem Kazuar. Analizując backdoora Sunburst, badacze znaleźli kilka cech, które były już wykorzystywane w backdoorze Kazuar stworzonym w .NET Framework.
"Podobieństwa w kodzie wskazują na związek pomiędzy Kazuarem i Sunburstem, choć o nieokreślonym jeszcze charakterze."
Kaspersky
Kazuarskie złośliwe oprogramowanie znane od 2017 r.
Według Kaspersky'ego, złośliwe oprogramowanie Kazuara zostało odkryte po raz pierwszy w 2017 roku i prawdopodobnie zostało opracowane przez aktora APT Turlę, który rzekomo wykorzystywał Kazuara do prowadzenia cyberprzestępczości na całym świecie. Podobno w procesie tym infiltrowano kilkaset celów wojskowych i rządowych. Turla został po raz pierwszy zgłoszony przez Kaspersky'ego i Symanteca na konferencji Black Hat 2014 w Vegas.
Nie oznacza to jednak automatycznie, że Turla jest również odpowiedzialna za hack Solarwinds, w którym 18 000 agencji rządowych, przedsiębiorstw i organizacji zostało zaatakowanych za pomocą trojańskiej wersji oprogramowania do zarządzania IT Orion.
Algorytm generowania, algorytm budzenia i hash FNV1a
Według analizy Kaspersky'ego, najbardziej uderzające podobieństwa między Sunburstem a Kazuarem to algorytm budzenia, algorytm generowania identyfikatora ofiary oraz użycie haszu FNV1a. Kod używany w tych przypadkach jest bardzo podobny, ale nie jest całkowicie identyczny. Sunburst i Kazuar wydają się więc "spokrewnieni", ale szczegóły dotyczące dokładnego związku pomiędzy tymi dwoma malwarami nie zostały jeszcze ustalone.
Jednym z prawdopodobnych wyjaśnień jest to, że Sunburst i Kazuar zostały napisane przez tych samych deweloperów. Może się jednak zdarzyć, że Sunburst został opracowany przez inną grupę, która wykorzystała jako szablon udane złośliwe oprogramowanie Kazuara. Istnieje również możliwość, że do zespołu Sunburst dołączyli indywidualni deweloperzy z grupy deweloperskiej Kazuar.
Fałszywe flagi Operacja
Możliwe jest jednak również, że podobieństwa między Kazuarem a Sunburstem zostały celowo wbudowane w celu stworzenia fałszywych tropów w oczekiwanych analizach złośliwego oprogramowania.
"Znalezione ogniwo nie ujawnia, kto stał za atakiem Wiatraków Słonecznych, ale oferuje dalszy wgląd, który może pomóc naukowcom kontynuować tę analizę".
Costin Raiu
