Os peritos em segurança TI da companhia Kaspersky vêem, de acordo com um Publicação no blog no recente Hack Solarwindsque se infiltrou na NASA, no Pentágono e em outros alvos sensíveis, tem uma conexão com o malware Kazuar. Analisando o backdoor Sunburst, os pesquisadores encontraram várias funcionalidades que já eram utilizadas no backdoor Kazuar criado no .NET Framework.
Malware Kazuar conhecido desde 2017
De acordo com Kaspersky, o malware Kazuar foi descoberto pela primeira vez em 2017 e foi provavelmente desenvolvido pelo actor da APT Turla, que alegadamente usou Kazuar para conduzir espionagem cibernética em todo o mundo. Diz-se que várias centenas de alvos militares e governamentais foram infiltrados no processo. Turla foi relatada pela primeira vez por Kaspersky e Symantec na conferência Black Hat 2014 em Las Vegas.
No entanto, isso não significa automaticamente que Turla também é responsável pelo hack Solarwinds, no qual 18.000 agências governamentais, empresas e organizações foram atacadas por meio de uma versão em Trojan do software de gerenciamento de TI Orion.
Algoritmo de geração, algoritmo de despertar e hash FNV1a
De acordo com a análise do Kaspersky, as semelhanças mais marcantes entre Sunburst e Kazuar são o algoritmo de despertar, o algoritmo de geração de identificação de vítimas e o uso do hash FNV1a. O código utilizado nestes casos tem grandes semelhanças, mas não é completamente idêntico. Sunburst e Kazuar, portanto, parecem estar "relacionados", mas os detalhes da relação exata entre os dois malwares ainda não foram determinados.
Uma explicação provável é que Sunburst e Kazuar foram escritos pelos mesmos desenvolvedores. No entanto, também poderia ser que o Sunburst foi desenvolvido por um grupo diferente que usou o bem sucedido malware Kazuar como um modelo. Há também a possibilidade de desenvolvedores individuais do grupo de desenvolvimento Kazuar se juntarem à equipe Sunburst.
Operação Bandeira Falsa
No entanto, também é possível que as semelhanças entre Kazuar e Sunburst tenham sido intencionalmente construídas para estabelecer falsas pistas nas análises esperadas de malware.