Hack di SolarWinds: gli esperti di Kaspersky trovano somiglianze di codice tra il malware Sunburst e la backdoor Kazuar.
Gli esperti di Kaspersky hanno trovato somiglianze di codice specifiche tra Sunburst e le versioni note della backdoor Kazuar. Questo tipo di malware consente l'accesso remoto al computer di una vittima. Le nuove scoperte possono aiutare i ricercatori di sicurezza IT nella loro analisi dell'attacco.
A metà dicembre 2020, FireEye, Microsoft e SolarWinds hanno annunciato la scoperta di un attacco alla catena di approvvigionamento ampio e molto complesso utilizzando il malware precedentemente sconosciuto "Sunburst" contro i clienti di SolarWinds Orion.
L'analisi rivela somiglianze
Durante l'analisi della backdoor Sunburst, i ricercatori di sicurezza di Kaspersky hanno scoperto una serie di funzionalità che si sovrappongono a quelle della backdoor "Kazuar" scritta in .NET Framework. Kazuar è stato descritto per la prima volta da Palo Alto nel 2017 e attribuito all'attore di APT Turla, che ha utilizzato questa backdoor negli attacchi di spionaggio informatico in tutto il mondo. Diverse somiglianze nel codice indicano una connessione tra Kazuar e Sunburst, anche se di natura ancora indeterminata.
Le somiglianze tra Sunburst e Kazuar includono UID (User Identifier), algoritmo di generazione, algoritmo di sonno e uso estensivo dell'hash FNV1a.Secondo gli esperti, questi frammenti di codice non sono identici al 100%, il che suggerisce che Kazuar e Sunburst potrebbero essere correlati, sebbene il la natura di tale relazione non è del tutto chiara.
Kazuar è simile a Sunburst
Dopo che il malware Sunburst è stato distribuito per la prima volta nel febbraio 2020, Kazuar si è evoluto, le varianti successive al 2020 sono ancora più simili a Sunburst per alcuni aspetti. Nel corso degli anni di sviluppo di Kazuar, gli esperti di Kaspersky hanno assistito a una continua evoluzione, aggiungendo significative funzionalità simili a Sunburst. Queste somiglianze possono essere dovute a vari motivi, ad esempio che Sunburst è stato sviluppato dallo stesso gruppo di Kazuar, o gli sviluppatori di Sunburst hanno utilizzato Kazuar come modello, o uno sviluppatore di Kazuar è passato al team di Sunburst, o i due gruppi dietro Sunburst e Kazuar ognuno ha ricevuto il proprio malware dalla stessa fonte.
Chi c'è dietro l'attacco di Solarwinds?
"La connessione scoperta non rivela chi c'è dietro l'attacco Solarwinds, ma fornisce ulteriori approfondimenti che possono aiutare i ricercatori a far avanzare ulteriormente questa analisi", ha affermato Costin Raiu, responsabile del Global Research and Analysis Team (GReAT) di Kaspersky. "Riteniamo che sia importante per altri ricercatori in tutto il mondo indagare su queste somiglianze e cercare di scoprire di più su Kazuar e sull'origine del malware sunburst utilizzato contro Solarwinds. Ad esempio, nei primi giorni dell'attacco WannaCry, c'erano pochissimi fatti che lo collegassero al gruppo Lazarus. Nel corso del tempo, tuttavia, abbiamo trovato più prove che hanno permesso a noi e ad altri di collegarle con un alto grado di probabilità. Un'ulteriore analisi di tali attacchi è fondamentale per ottenere un quadro più completo".
Ulteriori informazioni su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/