Hack SolarWinds: especialistas da Kaspersky encontram semelhanças de código entre o malware Sunburst e o backdoor Kazuar.
Os especialistas da Kaspersky encontraram semelhanças de código específicas entre o Sunburst e as versões conhecidas do backdoor do Kazuar. Esse tipo de malware permite acesso remoto ao computador da vítima. As novas descobertas podem ajudar os pesquisadores de segurança de TI em suas análises do ataque.
Em meados de dezembro de 2020, FireEye, Microsoft e SolarWinds anunciaram a descoberta de um grande e altamente complexo ataque à cadeia de suprimentos usando o malware 'Sunburst' anteriormente desconhecido contra clientes da SolarWinds Orion.
A análise revela semelhanças
Ao analisar o backdoor Sunburst, os pesquisadores de segurança da Kaspersky descobriram vários recursos que se sobrepõem aos do backdoor 'Kazuar' escrito no .NET Framework. Kazuar foi descrito pela primeira vez por Palo Alto em 2017 e atribuído ao ator APT Turla, que usou esse backdoor em ataques de espionagem cibernética em todo o mundo. Várias semelhanças no código apontam para uma conexão entre Kazuar e Sunburst, embora de natureza ainda indeterminada.
As semelhanças entre Sunburst e Kazuar incluem UID (User Identifier), algoritmo de geração, algoritmo de sono e uso extensivo de hash FNV1a. De acordo com os especialistas, esses fragmentos de código não são 100% idênticos, o que sugere que Kazuar e Sunburst podem estar relacionados, embora o natureza dessa relação não é totalmente clara.
Kazuar é semelhante ao Sunburst
Depois que o malware Sunburst foi implantado pela primeira vez em fevereiro de 2020, o Kazuar evoluiu, as variantes posteriores a 2020 são ainda mais semelhantes ao Sunburst em alguns aspectos. Ao longo dos anos de desenvolvimento do Kazuar, os especialistas da Kaspersky observaram uma evolução contínua, adicionando recursos significativos semelhantes ao Sunburst. Essas semelhanças podem ser devidas a vários motivos, como o fato de o Sunburst ter sido desenvolvido pelo mesmo grupo do Kazuar, ou os desenvolvedores do Sunburst usarem o Kazuar como modelo, ou um desenvolvedor do Kazuar ter mudado para a equipe do Sunburst ou os dois grupos por trás do Sunburst e do Kazuar cada um obteve seu malware da mesma fonte.
Quem está por trás do ataque Solarwinds?
“A conexão descoberta não revela quem está por trás do ataque Solarwinds, mas fornece informações adicionais que podem ajudar os pesquisadores a avançar ainda mais esta análise”, disse Costin Raiu, chefe da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. "Acreditamos que é importante que outros pesquisadores ao redor do mundo investiguem essas semelhanças e tentem descobrir mais sobre Kazuar e a origem do malware sunburst usado contra Solarwinds. Por exemplo, nos primeiros dias do ataque WannaCry, havia muito poucos fatos ligando-o ao grupo Lazarus. Com o tempo, no entanto, encontramos mais evidências que permitiram a nós e a outros relacioná-los com um alto grau de probabilidade. Uma análise mais aprofundada de tais ataques é crucial para obter uma imagem mais completa”.
Saiba mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/