Solarwinds hack - Kaspersky diz que conexão entre Sunburst e Kazuar

Os especialistas em segurança informática da empresa Kaspersky vêem, de acordo com um Publicação no blog no recente Hack Solarwindsque se infiltrou na NASA, no Pentágono e em outros alvos sensíveis, tem uma conexão com o malware do Kazuar. Analisando a porta traseira Sunburst, os pesquisadores encontraram várias características que já eram utilizadas na porta traseira Kazuar criada na estrutura .NET.

"As similaridades no código indicavam uma conexão entre Kazuar e Sunburst, embora de natureza ainda indeterminada".

Kaspersky

Malwares Kazuar conhecidos desde 2017

De acordo com Kaspersky, o malware Kazuar foi descoberto pela primeira vez em 2017 e provavelmente foi desenvolvido pelo ator Turla da APT, que supostamente usou Kazuar para conduzir espionagem cibernética ao redor do mundo. Várias centenas de alvos militares e governamentais foram infiltrados no processo. Turla foi relatada pela primeira vez por Kaspersky e Symantec na conferência Black Hat 2014 em Las Vegas.

Kazuar Período de desenvolvimento (fonte: securelist.com)

Entretanto, isto não significa automaticamente que Turla também é responsável pelo hack do Solarwinds, no qual 18.000 agências governamentais, empresas e organizações foram atacadas por meio de uma versão trojanizada do software de gerenciamento de TI Orion.

Algoritmo de geração, algoritmo de despertar e hash FNV1a

De acordo com a análise Kaspersky, as semelhanças mais marcantes entre Sunburst e Kazuar são o algoritmo de despertar, o algoritmo de geração de identificação de vítimas e o uso do hash FNV1a. O código utilizado nestes casos tem grandes semelhanças, mas não é completamente idêntico. Sunburst e Kazuar, portanto, parecem estar "relacionados", mas os detalhes da relação exata entre os dois malwares ainda não foram determinados.

Uma explicação provável é que Sunburst e Kazuar foram escritos pelos mesmos desenvolvedores. Entretanto, também poderia ser que o Sunburst foi desenvolvido por um grupo diferente que usou o bem sucedido malware Kazuar como um modelo. Há também a possibilidade de desenvolvedores individuais do grupo de desenvolvimento Kazuar se juntarem à equipe Sunburst.

Operação Falsa Bandeira

Entretanto, também é possível que as semelhanças entre Kazuar e Sunburst tenham sido intencionalmente incorporadas para estabelecer falsas pistas nas análises esperadas de malware.

"O link encontrado não revela quem esteve por trás do ataque do Solarwinds, mas oferece mais informações que podem ajudar os pesquisadores a levar esta análise adiante".

Costin Raiu

Artigos atuais