Solarwinds hack - Kaspersky hovorí, že spojenie medzi Sunburst a Kazuar

Odborníci na IT bezpečnosť zo spoločnosti Kaspersky vidia podľa Príspevok na blogu na nedávnom Solarwinds hackktorý prenikol do NASA, Pentagonu a ďalších citlivých cieľov, bol spojený so škodlivým softvérom Kazuar. Pri analýze backdooru Sunburst výskumníci našli rôzne funkcie, ktoré sa už používali v backdoore Kazuar vytvorenom v prostredí .NET Framework.

"Podobnosti v kóde naznačovali spojenie medzi Kazuárom a Sunburstom, hoci zatiaľ neurčenej povahy."

Kaspersky

Malvér Kazuar známy od roku 2017

Podľa spoločnosti Kaspersky bol malvér Kazuar prvýkrát objavený v roku 2017 a pravdepodobne ho vyvinul aktér APT Turla, ktorý údajne používal Kazuar na vykonávanie kybernetickej špionáže po celom svete. Údajne sa pri tom infiltrovalo niekoľko stoviek vojenských a vládnych cieľov. Spoločnosti Kaspersky a Symantec prvýkrát informovali o systéme Turla na konferencii Black Hat 2014 v Las Vegas.

Kazuar Obdobie vývoja (zdroj: securelist.com)

To však automaticky neznamená, že spoločnosť Turla je zodpovedná aj za hackerský útok na spoločnosť Solarwinds, pri ktorom bolo prostredníctvom trojanizovanej verzie softvéru na správu IT Orion napadnutých 18 000 úradov, spoločností a organizácií.

Algoritmus generovania, prebúdzací algoritmus a hash FNV1a

Podľa analýzy spoločnosti Kaspersky sú najvýraznejšími podobnosťami medzi Sunburstom a Kazuarom algoritmus prebúdzania, algoritmus generovania identifikátora obete a používanie hashovacej jednotky FNV1a. Kód použitý v týchto prípadoch je veľmi podobný, ale nie je úplne identický. Zdá sa, že Sunburst a Kazuar sú "príbuzné", ale podrobnosti o presnom vzťahu medzi týmito dvoma škodlivými programami zatiaľ neboli zistené.

Jedným z pravdepodobných vysvetlení je, že Sunburst a Kazuar napísali tí istí vývojári. Je však možné, že Sunburst vyvinula iná skupina, ktorá ako predlohu použila úspešný malvér Kazuar. Existuje aj možnosť, že sa k tímu Sunburst pripojili jednotliví vývojári zo skupiny Kazuar.

Operácia pod falošnou vlajkou

Je však tiež možné, že podobnosti medzi Kazuarom a Sunburstom boli zámerne zakomponované s cieľom vytvoriť falošné stopy pri očakávaných analýzach malvéru.

"Nájdené prepojenie neodhaľuje, kto stál za útokom Solarwinds, ale ponúka ďalšie informácie, ktoré môžu výskumníkom pomôcť pri ďalšej analýze."

Costin Raiu

Aktuálne články