Os especialistas em segurança informática da empresa Kaspersky vêem, de acordo com um Publicação no blog no recente Hack Solarwindsque se infiltrou na NASA, no Pentágono e em outros alvos sensíveis, tem uma conexão com o malware do Kazuar. Analisando a porta traseira Sunburst, os pesquisadores encontraram várias características que já eram utilizadas na porta traseira Kazuar criada na estrutura .NET.
Malwares Kazuar conhecidos desde 2017
De acordo com Kaspersky, o malware Kazuar foi descoberto pela primeira vez em 2017 e provavelmente foi desenvolvido pelo ator Turla da APT, que supostamente usou Kazuar para conduzir espionagem cibernética ao redor do mundo. Várias centenas de alvos militares e governamentais foram infiltrados no processo. Turla foi relatada pela primeira vez por Kaspersky e Symantec na conferência Black Hat 2014 em Las Vegas.
Entretanto, isto não significa automaticamente que Turla também é responsável pelo hack do Solarwinds, no qual 18.000 agências governamentais, empresas e organizações foram atacadas por meio de uma versão trojanizada do software de gerenciamento de TI Orion.
Algoritmo de geração, algoritmo de despertar e hash FNV1a
De acordo com a análise Kaspersky, as semelhanças mais marcantes entre Sunburst e Kazuar são o algoritmo de despertar, o algoritmo de geração de identificação de vítimas e o uso do hash FNV1a. O código utilizado nestes casos tem grandes semelhanças, mas não é completamente idêntico. Sunburst e Kazuar, portanto, parecem estar "relacionados", mas os detalhes da relação exata entre os dois malwares ainda não foram determinados.
Uma explicação provável é que Sunburst e Kazuar foram escritos pelos mesmos desenvolvedores. Entretanto, também poderia ser que o Sunburst foi desenvolvido por um grupo diferente que usou o bem sucedido malware Kazuar como um modelo. Há também a possibilidade de desenvolvedores individuais do grupo de desenvolvimento Kazuar se juntarem à equipe Sunburst.
Operação Falsa Bandeira
Entretanto, também é possível que as semelhanças entre Kazuar e Sunburst tenham sido intencionalmente incorporadas para estabelecer falsas pistas nas análises esperadas de malware.