从卡巴斯基公司的IT安全专家看到,根据一项。 博客文章 在最近 Solarwinds hack渗透到美国宇航局、五角大楼和其他敏感目标,与Kazuar恶意软件有关联。在分析Sunburst后门时,研究人员发现在.NET框架中创建的Kazuar后门中已经使用了一些功能。
"代码中的相似之处表明,卡苏亚尔和旭日阳刚之间有联系,虽然性质还未确定。"
卡巴斯基
自2017年以来已知的Kazuar恶意软件
根据卡巴斯基的说法,Kazuar恶意软件最早是在2017年被发现的,很可能是由APT演员Turla开发的,据称他利用Kazuar在世界各地进行网络间谍活动。据报道,在这一过程中,有数百个军事和政府目标被渗透进来。Turla是卡巴斯基和赛门铁克在拉斯维加斯举行的Black Hat 2014大会上首次报道的。
然而,这并不自动意味着Turla也要为Solarwinds黑客事件负责,在该事件中,有1.8万个政府机构、企业和组织通过木马化版本的猎户座IT管理软件受到攻击。
生成算法、唤醒算法和FNV1a哈希值。
根据卡巴斯基的分析,Sunburst和Kazuar最突出的相似之处是唤醒算法、受害者ID生成算法和使用FNV1a哈希。这些案例中使用的代码有很大的相似性,但并不完全相同。因此,Sunburst和Kazuar似乎是 "亲戚",但两个恶意软件之间的具体关系细节尚未确定。
一个可能的解释是,Sunburst和Kazuar是由同一个开发者编写的。不过,也有可能是Sunburst是由另一个组织开发的,他们使用成功的Kazuar恶意软件作为模板。也有可能是和讯开发组的个别开发人员加入了Sunburst团队。
伪旗行动
不过,也有可能是故意内置了Kazuar和Sunburst的相似之处,以便在预期的恶意软件分析中设置虚假线索。
"发现的链接并没有揭示谁是Solarwinds攻击的幕后黑手,但提供了进一步的见解,可以帮助研究人员进一步进行分析。"
Costin Raiu
