Hackeo de SolarWinds: los expertos de Kaspersky encuentran similitudes de código entre el malware Sunburst y la puerta trasera Kazuar.
Los expertos de Kaspersky encontraron similitudes de código específicas entre Sunburst y versiones conocidas de la puerta trasera Kazuar. Este tipo de malware permite el acceso remoto a la computadora de la víctima. Los nuevos hallazgos pueden ayudar a los investigadores de seguridad de TI en su análisis del ataque.
A mediados de diciembre de 2020, FireEye, Microsoft y SolarWinds anunciaron el descubrimiento de un gran ataque a la cadena de suministro altamente complejo que utilizaba el malware "Sunburst" previamente desconocido contra los clientes de SolarWinds Orion.
El análisis revela similitudes
Mientras analizaban la puerta trasera Sunburst, los investigadores de seguridad de Kaspersky descubrieron una serie de características que se superponen con las de la puerta trasera 'Kazuar' escritas en .NET Framework. Kazuar fue descrito por primera vez por Palo Alto en 2017 y atribuido al actor de APT Turla, quien usó esta puerta trasera en ataques de ciberespionaje en todo el mundo. Varias similitudes en el código apuntan a una conexión entre Kazuar y Sunburst, aunque de naturaleza aún indeterminada.
Las similitudes entre Sunburst y Kazuar incluyen UID (identificador de usuario), algoritmo de generación, algoritmo de suspensión y uso extensivo de hash FNV1a. Según los expertos, estos fragmentos de código no son 100 por ciento idénticos, lo que sugiere que Kazuar y Sunburst pueden estar relacionados, aunque el La naturaleza de esa relación no está del todo clara.
Kazuar es similar a Sunburst
Después de que el malware Sunburst se implementó por primera vez en febrero de 2020, Kazuar ha evolucionado, las variantes posteriores de 2020 son aún más similares a Sunburst en algunos aspectos. A lo largo de los años de desarrollo de Kazuar, los expertos de Kaspersky han visto una evolución continua, agregando funciones significativas similares a Sunburst. Estas similitudes pueden deberse a varias razones, como que Sunburst fue desarrollado por el mismo grupo que Kazuar, o que los desarrolladores de Sunburst usaron Kazuar como plantilla, o que un desarrollador de Kazuar cambió al equipo de Sunburst, o que los dos grupos detrás de Sunburst y Kazuar cada uno obtuvo su malware de la misma fuente.
¿Quién está detrás del ataque de Solarwinds?
"La conexión descubierta no revela quién está detrás del ataque de Solarwinds, pero proporciona información adicional que puede ayudar a los investigadores a avanzar más en este análisis", dijo Costin Raiu, jefe del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky. "Creemos que es importante que otros investigadores de todo el mundo investiguen estas similitudes y traten de averiguar más sobre Kazuar y el origen del malware sunburst utilizado contra Solarwinds. Por ejemplo, en los primeros días del ataque de WannaCry, había muy pocos datos que lo vincularan con el grupo Lazarus. Con el tiempo, sin embargo, encontramos más evidencia que nos permitió a nosotros y a otros relacionarlos con un alto grado de probabilidad. Un análisis más profundo de tales ataques es crucial para obtener una imagen más completa”.
Más información en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/