SolarWinds ハッキング: Kaspersky の専門家は、Sunburst マルウェアと Kazuar バックドアのコードの類似性を発見しました。
カスペルスキーの専門家は、Sunburst と Kazuar バックドアの既知のバージョンとの間に特定のコードの類似性を発見しました。 このタイプのマルウェアは、被害者のコンピュータへのリモート アクセスを可能にします。 新しい調査結果は、IT セキュリティ研究者が攻撃を分析するのに役立ちます。
2020 年 XNUMX 月中旬、FireEye、Microsoft、SolarWinds は、SolarWinds Orion の顧客に対する未知のマルウェア「Sunburst」を使用した、大規模で非常に複雑なサプライ チェーン攻撃の発見を発表しました。
分析により類似点が明らかに
カスペルスキーのセキュリティ研究者は、Sunburst バックドアの分析中に、.NET Framework で記述された「Kazuar」バックドアの機能と重複する多くの機能を発見しました。 Kazuar は 2017 年に Palo Alto によって最初に説明され、世界中のサイバー スパイ攻撃でこのバックドアを使用した APT アクター Turla に起因するとされています。 コードのいくつかの類似点は、まだ決定されていない性質ではあるが、Kazuar と Sunburst の間の接続を示しています。
Sunburst と Kazuar の類似点には、UID (ユーザー識別子)、生成アルゴリズム、スリープ アルゴリズム、および FNV1a ハッシュの広範な使用が含まれます. 専門家によると、これらのコード フラグメントは 100% 同一ではなく、Kazuar と Sunburst が関連している可能性があることを示唆していますが、その関係の性質は完全には明らかではありません。
カズアーはサンバーストに似ている
Sunburst マルウェアが 2020 年 2020 月に最初に展開された後、Kazuar は進化し、XNUMX 年後半の亜種はいくつかの点で Sunburst にさらに似ています。 カスペルスキーの専門家は、Kazuar の開発の長年にわたって、重要な Sunburst のような機能を追加し、継続的な進化を目の当たりにしてきました。 これらの類似点は、サンバーストがカズアと同じグループによって開発された、サンバーストの開発者がカズアをテンプレートとして使用した、カズアの開発者がサンバースト チームに切り替えた、またはサンバーストとカズアの背後にある XNUMX つのグループなど、さまざまな理由による可能性があります。それぞれが同じソースからマルウェアを取得しました。
Solarwinds 攻撃の背後にいるのは誰ですか?
Kaspersky の Global Research and Analysis Team (GReAT) の責任者である Costin Raiu は、次のように述べています。 「世界中の他の研究者がこれらの類似点を調査し、Kazuar と、Solarwinds に対して使用されたサンバースト マルウェアの起源についてさらに調べようとすることが重要であると考えています。 たとえば、WannaCry 攻撃の初期には、それを Lazarus グループに関連付ける事実はほとんどありませんでした。 しかし、時間が経つにつれて、私たちと他の人々がそれらを高い確率で結び付けることができる証拠がさらに見つかりました. 全体像を把握するには、このような攻撃をさらに分析することが重要です。」
Kaspersky.com で詳細をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。