Solarwinds hack - Kaspersky säger att det finns en koppling mellan Sunburst och Kazuar

IT-säkerhetsexperter från företaget Kaspersky ser, enligt en Blogginlägg vid den nyligen genomförda Solarwinds hacksom infiltrerade NASA, Pentagon och andra känsliga mål, har en koppling till skadlig kod Kazuar. Vid analysen av Sunburst-bakdörren fann forskarna flera funktioner som redan användes i Kazuar-bakdörren som skapats i .NET Framework.

Kazuar malware känt sedan 2017

Enligt Kaspersky upptäcktes skadlig kod Kazuar för första gången 2017 och utvecklades sannolikt av APT-aktören Turla, som påstås ha använt Kazuar för att bedriva cyberspionage runt om i världen. Flera hundra militära och statliga mål sägs ha infiltrerats under processen. Turla rapporterades först av Kaspersky och Symantec vid Black Hat 2014-konferensen i Vegas.

Detta betyder dock inte automatiskt att Turla också är ansvarig för Solarwinds hack, där 18 000 myndigheter, företag och organisationer attackerades via en trojaniserad version av IT-hanteringsprogrammet Orion.

Genereringsalgoritm, väckningsalgoritm och FNV1a-hash.

Enligt Kasperskys analys är de mest slående likheterna mellan Sunburst och Kazuar algoritmen för att väcka upp, algoritmen för att generera offer-ID och användningen av FNV1a-hash. Den kod som används i dessa fall har stora likheter, men är inte helt identisk. Sunburst och Kazuar verkar därför vara "besläktade", men detaljerna om det exakta förhållandet mellan de två skadorna har ännu inte fastställts.

En trolig förklaring är att Sunburst och Kazuar skrevs av samma utvecklare. Men det kan också vara så att Sunburst utvecklades av en annan grupp som använde den framgångsrika skadlig kod Kazuar som mall. Det finns också en möjlighet att enskilda utvecklare från Kazuars utvecklingsgrupp har anslutit sig till Sunburst-teamet.

Operation under falsk flagg

Det är dock också möjligt att likheterna mellan Kazuar och Sunburst var avsiktligt inbyggda för att skapa falska ledtrådar i de förväntade analyserna av skadlig kod.