Solarwinds hack - Kaspersky pravi povezavo med Sunburst in Kazuar

Po mnenju strokovnjaka za varnost IT iz podjetja Kaspersky je Prispevek na blogu na nedavnem Solarwinds krampki je vdrl v NASA, Pentagon in druge občutljive cilje, je bil povezan z zlonamerno programsko opremo Kazuar. Raziskovalci so pri analizi zaodrja Sunburst našli različne funkcije, ki so bile že uporabljene v zaodrju Kazuar, ustvarjenem v ogrodju .NET.

Zlonamerna programska oprema Kazuar je znana od leta 2017

Po navedbah družbe Kaspersky je bila zlonamerna programska oprema Kazuar prvič odkrita leta 2017 in jo je verjetno razvil akter APT Turla, ki naj bi s pomočjo Kazuarja izvajal kibernetsko vohunjenje po vsem svetu. Pri tem naj bi se vtihotapilo več sto vojaških in vladnih ciljev. Družbi Kaspersky in Symantec sta o Turli prvič poročali na konferenci Black Hat 2014 v Las Vegasu.

Vendar to še ne pomeni, da je družba Turla odgovorna tudi za vdor v podjetje Solarwinds, v katerem je bilo s trojansko različico programske opreme za upravljanje IT Orion napadenih 18.000 organov, podjetij in organizacij.

Algoritem za generiranje, algoritem za prebujanje in hash FNV1a

Po analizi družbe Kaspersky so si Sunburst in Kazuar najbolj podobni v algoritmu prebujanja, algoritmu ustvarjanja ID žrtve in uporabi hasha FNV1a. Koda, uporabljena v teh primerih, je zelo podobna, vendar ni popolnoma enaka. Zdi se, da sta Sunburst in Kazuar "povezana", vendar podrobnosti o natančni povezavi obeh škodljivih programov še ni bilo mogoče določiti.

Verjetna razlaga je, da so Sunburst in Kazuar napisali isti razvijalci. Lahko pa je tudi, da je Sunburst razvila druga skupina, ki je kot predlogo uporabila uspešno zlonamerno programsko opremo Kazuar. Obstaja tudi možnost, da so se ekipi Sunburst pridružili posamezni razvijalci iz skupine Kazuar.

Operacija pod lažno zastavo

Mogoče pa je tudi, da so bile podobnosti med Kazuarjem in Sunburstom namerno vgrajene, da bi se v pričakovanih analizah zlonamerne programske opreme pojavile lažne indikacije.