Experții în securitate IT de la compania Kaspersky văd, potrivit unui Postare pe blog la recenta Solarwinds hackcare s-a infiltrat în NASA, Pentagon și în alte obiective sensibile, are o legătură cu malware-ul Kazuar. Analizând backdoor-ul Sunburst, cercetătorii au descoperit mai multe caracteristici care au fost deja folosite în backdoor-ul Kazuar creat în .NET Framework.
"Similitudinile din cod indicau o legătură între Kazuar și Sunburst, deși de o natură încă nedeterminată."
Kaspersky
Kazuar malware cunoscut din 2017
Potrivit Kaspersky, malware-ul Kazuar a fost descoperit pentru prima dată în 2017 și a fost probabil dezvoltat de către actorul APT Turla, care ar fi folosit Kazuar pentru a efectua spionaj cibernetic în întreaga lume. Se pare că în acest proces au fost infiltrate câteva sute de obiective militare și guvernamentale. Turla a fost semnalat pentru prima dată de Kaspersky și Symantec la conferința Black Hat 2014 din Vegas.
Cu toate acestea, acest lucru nu înseamnă automat că Turla este responsabil și pentru hack-ul Solarwinds, în care 18.000 de agenții guvernamentale, întreprinderi și organizații au fost atacate prin intermediul unei versiuni troianizate a software-ului de management IT Orion.
Algoritm de generare, algoritm de trezire și hash FNV1a
Conform analizei Kaspersky, cele mai izbitoare asemănări între Sunburst și Kazuar sunt algoritmul de trezire, algoritmul de generare a ID-ului victimei și utilizarea hash-ului FNV1a. Codul utilizat în aceste cazuri are mari asemănări, dar nu este complet identic. Prin urmare, Sunburst și Kazuar par a fi "înrudite", dar detaliile relației exacte dintre cele două programe malware nu au fost încă determinate.
O explicație probabilă este că Sunburst și Kazuar au fost scrise de aceiași dezvoltatori. Cu toate acestea, ar putea fi, de asemenea, posibil ca Sunburst să fi fost dezvoltat de un alt grup care a folosit malware-ul de succes Kazuar ca model. Există, de asemenea, posibilitatea ca anumiți dezvoltatori din grupul de dezvoltare Kazuar să se fi alăturat echipei Sunburst.
Operațiunea False Flag
Cu toate acestea, este de asemenea posibil ca asemănările dintre Kazuar și Sunburst să fi fost construite în mod intenționat pentru a crea piste false în analizele malware așteptate.
"Legătura găsită nu dezvăluie cine a fost în spatele atacului Solarwinds, dar oferă informații suplimentare care pot ajuta cercetătorii să ducă această analiză mai departe."
Costin Raiu
