Взлом солнечных ветров - Касперский говорит, что связь между Солнечным Взрывом и Казуаром

Эксперты по IT-безопасности из компании Касперского видят, по мнению пост в блоге на днях взлом солнечных ветровкоторая проникла в НАСА, Пентагон и другие чувствительные цели, имеет связь с вредоносной программой Казуар. Анализируя бэкдор Sunburst, исследователи обнаружили несколько функций, которые уже использовались в бэкдоре Kazuar, созданном в .NET Framework.

"Сходство в коде указывало на связь между Казуаром и Солнечным прибором, пусть пока и неопределенную".

Касперский

вредоносная программа "Казуар", известная с 2017 года

По словам Касперского, вредоносная программа "Казуар" была впервые обнаружена в 2017 году и, скорее всего, была разработана актером APT Турлой, который якобы использовал "Казуар" для осуществления кибершпионажа по всему миру. По сообщениям, в этот процесс было проникнуто несколько сотен военных и правительственных объектов. Впервые Турлу доложили Касперский и Symantec на конференции "Черная Шляпа 2014" в Вегасе.

Казуар Период разработки (источник: securelist.com)

Однако это не означает, что Турла автоматически несет ответственность и за взлом Solarwinds, в ходе которого 18000 государственных учреждений, предприятий и организаций были атакованы с помощью троянизированной версии программного обеспечения Orion для управления ИТ-инфраструктурой.

Алгоритм генерации, алгоритм пробуждения и хэш FNV1a

Согласно анализу Касперского, наиболее поразительным сходством между Солнечным приемом и Казуаром является алгоритм пробуждения, алгоритм генерации идентификатора жертвы, а также использование хэша FNV1a. Код, используемый в этих случаях, имеет большое сходство, но не является полностью идентичным. Солнечный всплеск и Казуар, таким образом, кажутся "родственными", но подробности точной связи между этими двумя злодеяниями пока не определены.

Одно из вероятных объяснений заключается в том, что Sunburst и Kazuar были написаны одними и теми же разработчиками. Однако, возможно, что Sunburst был разработан другой группой, которая использовала успешную вредоносную программу Kazuar в качестве шаблона. Также существует возможность того, что к команде Sunburst присоединились отдельные девелоперы из девелоперской группы Kazuar.

Операция с фальшивым флагом

Однако не исключено, что сходство между Казуаром и Sunburst было намеренно встроено, чтобы установить ложные зацепки в ожидаемом анализе вредоносного ПО.

"Найденная связь не раскрывает, кто стоял за атакой Solarwinds, но предлагает дальнейшее понимание, которое может помочь исследователям продолжить этот анализ".

Костин-Райю

Текущие статьи

Некатегоризированный

Почему оптимизация времени загрузки имеет решающее значение для ваших конверсий

В современную цифровую эпоху пользователи Интернета ожидают молниеносной работы при посещении веб-сайта. Длительное время загрузки не только приводит к ухудшению пользовательского восприятия, но и может

Общие сведения

Эффективное управление безопасностью: руководство по безопасному веб-хостингу

Веб-хостинг является основой любого присутствия в Интернете. Это касается и личных блогов, и бизнес-сайтов фрилансеров, и сайтов целых компаний. В настоящее время, когда

Некатегоризированный

Устранение неполадок в работе хостинга Windows: общие проблемы и быстрые решения

Хостинговые платформы на базе Windows, как правило, обеспечивают надежную основу для различных веб-проектов. Однако, как и с любой другой технологией, могут возникнуть проблемы. Многие