Piratage de SolarWinds : les experts de Kaspersky trouvent des similitudes de code entre le malware Sunburst et la porte dérobée Kazuar.
Les experts de Kaspersky ont trouvé des similitudes de code spécifiques entre Sunburst et les versions connues de la porte dérobée Kazuar. Ce type de logiciel malveillant permet d'accéder à distance à l'ordinateur d'une victime. Les nouvelles découvertes peuvent aider les chercheurs en sécurité informatique dans leur analyse de l'attaque.
À la mi-décembre 2020, FireEye, Microsoft et SolarWinds ont annoncé la découverte d'une attaque de chaîne d'approvisionnement de grande envergure et très complexe utilisant le logiciel malveillant « Sunburst » jusqu'alors inconnu contre les clients de SolarWinds Orion.
L'analyse révèle des similitudes
Lors de l'analyse de la porte dérobée Sunburst, les chercheurs en sécurité de Kaspersky ont découvert un certain nombre de fonctionnalités qui chevauchent celles de la porte dérobée « Kazuar » écrite dans le .NET Framework. Kazuar a été décrit pour la première fois par Palo Alto en 2017 et attribué à l'acteur APT Turla, qui a utilisé cette porte dérobée dans des attaques de cyberespionnage à travers le monde. Plusieurs similitudes dans le code indiquent une connexion entre Kazuar et Sunburst, quoique d'une nature encore indéterminée.
Les similitudes entre Sunburst et Kazuar incluent l'UID (identifiant utilisateur), l'algorithme de génération, l'algorithme de veille et l'utilisation intensive du hachage FNV1a. Selon les experts, ces fragments de code ne sont pas identiques à 100 %, ce qui suggère que Kazuar et Sunburst pourraient être liés, bien que le la nature de cette relation n'est pas tout à fait claire.
Kazuar est similaire à Sunburst
Après le premier déploiement du logiciel malveillant Sunburst en février 2020, Kazuar a évolué, les variantes ultérieures de 2020 sont encore plus similaires à Sunburst à certains égards. Au fil des années de développement de Kazuar, les experts de Kaspersky ont vu une évolution continue, ajoutant des fonctionnalités importantes de type Sunburst. Ces similitudes peuvent être dues à diverses raisons, telles que Sunburst a été développé par le même groupe que Kazuar, ou les développeurs Sunburst ont utilisé Kazuar comme modèle, ou un développeur Kazuar est passé à l'équipe Sunburst, ou les deux groupes derrière Sunburst et Kazuar chacun a obtenu son malware de la même source.
Qui est derrière l'attaque de Solarwinds ?
"La connexion découverte ne révèle pas qui est derrière l'attaque de Solarwinds, mais fournit des informations supplémentaires qui peuvent aider les chercheurs à faire avancer cette analyse", a déclaré Costin Raiu, responsable de l'équipe mondiale de recherche et d'analyse (GReAT) chez Kaspersky. "Nous pensons qu'il est important que d'autres chercheurs du monde entier enquêtent sur ces similitudes et essaient d'en savoir plus sur Kazuar et l'origine du malware sunburst utilisé contre Solarwinds. Par exemple, au début de l'attaque WannaCry, il y avait très peu de faits la liant au groupe Lazarus. Au fil du temps, cependant, nous avons trouvé plus de preuves qui nous ont permis, ainsi qu'à d'autres, de les lier avec un degré de probabilité élevé. Une analyse plus approfondie de ces attaques est cruciale pour obtenir une image plus complète.
En savoir plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/