IT-Sicherheitsexperten des Unternehmens Kaspersky sehen laut einem Blogbeitrag beim kürzlichen Solarwinds-Hack, bei dem die NASA, das Pentagon und weitere sensible Ziele infiltriert wurden, einen Zusammenhang mit der Malware Kazuar. Bei einer Analyse der Sunburst-Backdoor fanden die Wissenschaftler verschiedene Funktionen, die bereits in der im .NET Framework erstellten Backdoor Kazuar verwendet wurden.
Malware Kazuar seit 2017 bekannt
Entdeckt wurde die Malware Kazuar laut Kaspersky erstmals 2017. Entwickelt wurde sie wahrscheinlich durch den APT-Akteur Turla, der mithilfe von Kazuar Cyberspionage auf der ganzen Welt durchgeführt haben soll. Dabei sollen mehrere Hundert Militär- und Regierungsziele infiltriert worden sein. Erstmals berichtet wurde über Turla von Kaspersky und Symantec bereits auf der Konferenz Black-Hat 2014 in Vegas.
Dies bedeutet aber nicht automatisch, dass Turla auch für den Solarwinds-Hack, bei dem 18.000 Behörden, Unternehmen und Organisationen über eine trojanisierten Version der IT-Managementsoftware Orion angegriffen wurden, verantwortlich ist.
Generierungsalgorithmus, Aufweckalgorithmus und FNV1a-Hash
Die auffälligsten Gemeinsamkeiten von Sunburst und Kazuar sind laut der Kaspersky Analyse der Aufweckalgorithmus, der Generierungsalgorithmus für Opfer-IDs und die Verwendung des FNV1a-Hashs. Der dabei verwendete Code weist große Ähnlichkeiten auf, ist aber nicht vollständig identisch. Sunburst und Kazuar scheinen daher „verwandt“ zu sein, Details zum genauen Verhältnis der beiden Malwares konnten aber noch nicht ermittelt werden.
Eine wahrscheinliche Erklärung ist, dass Sunburst und Kazuar von denselben Entwicklern geschrieben wurde. Es könnte aber ebenfalls sein, dass Sunburst von einer anderen Gruppe entwickelt wurde, die die erfolgreiche Kazuar Malware als Vorlage nutzte. Außerdem besteht die Möglichkeit, dass einzelne Entwickler aus der Gruppe der Kazuar-Entwickler in das Sunburst-Team gewechselt sind.
False-Flag-Operation
Möglich wäre aber auch, dass die Ähnlichkeiten zwischen Kazuar und Sunburst absichtlich eingebaut wurden, um bei den zu erwartenden Malware-Analysen falsche Hinweise zu setzen.