Solarwinds hack - Kaspersky diz que ligação entre Sunburst e Kazuar

Os peritos em segurança TI da companhia Kaspersky vêem, de acordo com um Publicação no blog no recente Hack Solarwindsque se infiltrou na NASA, no Pentágono e em outros alvos sensíveis, tem uma conexão com o malware Kazuar. Analisando o backdoor Sunburst, os pesquisadores encontraram várias funcionalidades que já eram utilizadas no backdoor Kazuar criado no .NET Framework.

"As semelhanças no código indicavam uma ligação entre Kazuar e Sunburst, embora de natureza ainda indeterminada".

Kaspersky

Malware Kazuar conhecido desde 2017

De acordo com Kaspersky, o malware Kazuar foi descoberto pela primeira vez em 2017 e foi provavelmente desenvolvido pelo actor da APT Turla, que alegadamente usou Kazuar para conduzir espionagem cibernética em todo o mundo. Diz-se que várias centenas de alvos militares e governamentais foram infiltrados no processo. Turla foi relatada pela primeira vez por Kaspersky e Symantec na conferência Black Hat 2014 em Las Vegas.

Kazuar Período de desenvolvimento (fonte: securelist.com)

No entanto, isso não significa automaticamente que Turla também é responsável pelo hack Solarwinds, no qual 18.000 agências governamentais, empresas e organizações foram atacadas por meio de uma versão em Trojan do software de gerenciamento de TI Orion.

Algoritmo de geração, algoritmo de despertar e hash FNV1a

De acordo com a análise do Kaspersky, as semelhanças mais marcantes entre Sunburst e Kazuar são o algoritmo de despertar, o algoritmo de geração de identificação de vítimas e o uso do hash FNV1a. O código utilizado nestes casos tem grandes semelhanças, mas não é completamente idêntico. Sunburst e Kazuar, portanto, parecem estar "relacionados", mas os detalhes da relação exata entre os dois malwares ainda não foram determinados.

Uma explicação provável é que Sunburst e Kazuar foram escritos pelos mesmos desenvolvedores. No entanto, também poderia ser que o Sunburst foi desenvolvido por um grupo diferente que usou o bem sucedido malware Kazuar como um modelo. Há também a possibilidade de desenvolvedores individuais do grupo de desenvolvimento Kazuar se juntarem à equipe Sunburst.

Operação Bandeira Falsa

No entanto, também é possível que as semelhanças entre Kazuar e Sunburst tenham sido intencionalmente construídas para estabelecer falsas pistas nas análises esperadas de malware.

"A ligação encontrada não revela quem esteve por trás do ataque do Solarwinds, mas oferece mais informações que podem ajudar os investigadores a levar esta análise mais longe".

Costin Raiu

Artigos actuais