Эксперты по IT-безопасности из компании Касперского видят, по мнению пост в блоге на днях взлом солнечных ветровкоторая проникла в НАСА, Пентагон и другие чувствительные цели, имеет связь с вредоносной программой Казуар. Анализируя бэкдор Sunburst, исследователи обнаружили несколько функций, которые уже использовались в бэкдоре Kazuar, созданном в .NET Framework.
"Сходство в коде указывало на связь между Казуаром и Солнечным прибором, пусть пока и неопределенную".
Касперский
вредоносная программа "Казуар", известная с 2017 года
По словам Касперского, вредоносная программа "Казуар" была впервые обнаружена в 2017 году и, скорее всего, была разработана актером APT Турлой, который якобы использовал "Казуар" для осуществления кибершпионажа по всему миру. По сообщениям, в этот процесс было проникнуто несколько сотен военных и правительственных объектов. Впервые Турлу доложили Касперский и Symantec на конференции "Черная Шляпа 2014" в Вегасе.
Однако это не означает, что Турла автоматически несет ответственность и за взлом Solarwinds, в ходе которого 18000 государственных учреждений, предприятий и организаций были атакованы с помощью троянизированной версии программного обеспечения Orion для управления ИТ-инфраструктурой.
Алгоритм генерации, алгоритм пробуждения и хэш FNV1a
Согласно анализу Касперского, наиболее поразительным сходством между Солнечным приемом и Казуаром является алгоритм пробуждения, алгоритм генерации идентификатора жертвы, а также использование хэша FNV1a. Код, используемый в этих случаях, имеет большое сходство, но не является полностью идентичным. Солнечный всплеск и Казуар, таким образом, кажутся "родственными", но подробности точной связи между этими двумя злодеяниями пока не определены.
Одно из вероятных объяснений заключается в том, что Sunburst и Kazuar были написаны одними и теми же разработчиками. Однако, возможно, что Sunburst был разработан другой группой, которая использовала успешную вредоносную программу Kazuar в качестве шаблона. Также существует возможность того, что к команде Sunburst присоединились отдельные девелоперы из девелоперской группы Kazuar.
Операция с фальшивым флагом
Однако не исключено, что сходство между Казуаром и Sunburst было намеренно встроено, чтобы установить ложные зацепки в ожидаемом анализе вредоносного ПО.
"Найденная связь не раскрывает, кто стоял за атакой Solarwinds, но предлагает дальнейшее понимание, которое может помочь исследователям продолжить этот анализ".
Костин-Райю
