SolarWinds hack'i: Kaspersky uzmanları, Sunburst kötü amaçlı yazılımı ile Kazuar arka kapısı arasında kod benzerlikleri buluyor.
Kaspersky uzmanları, Sunburst ile Kazuar arka kapısının bilinen sürümleri arasında belirli kod benzerlikleri buldu. Bu tür kötü amaçlı yazılımlar, kurbanın bilgisayarına uzaktan erişim sağlar. Yeni bulgular, BT güvenlik araştırmacılarına saldırı analizlerinde yardımcı olabilir.
Aralık 2020'nin ortalarında FireEye, Microsoft ve SolarWinds, SolarWinds Orion müşterilerine karşı önceden bilinmeyen kötü amaçlı yazılım "Sunburst" kullanan büyük, oldukça karmaşık bir tedarik zinciri saldırısının keşfedildiğini duyurdu.
Analiz benzerlikleri ortaya koyuyor
Kaspersky güvenlik araştırmacıları, Sunburst arka kapısını analiz ederken, .NET Framework'te yazılan 'Kazuar' arka kapısının özellikleriyle örtüşen bir dizi özellik keşfetti. Kazuar, ilk olarak 2017'de Palo Alto tarafından tanımlandı ve bu arka kapıyı dünyanın dört bir yanındaki siber casusluk saldırılarında kullanan APT aktörü Turla'ya atfedildi. Koddaki bazı benzerlikler, doğası henüz belirlenmemiş olsa da, Kazuar ve Sunburst arasındaki bir bağlantıya işaret ediyor.
Sunburst ve Kazuar arasındaki benzerlikler arasında UID (Kullanıcı Tanımlayıcı), üretim algoritması, uyku algoritması ve FNV1a karmasının kapsamlı kullanımı yer alıyor.Uzmanlara göre bu kod parçaları yüzde 100 aynı değil, bu da Kazuar ve Sunburst'un ilişkili olabileceğini düşündürüyor. bu ilişkinin doğası tam olarak açık değildir.
Kazuar, Sunburst'a benzer
Sunburst kötü amaçlı yazılımının Şubat 2020'de ilk kez dağıtılmasının ardından Kazuar gelişti ve 2020'nin sonraki varyantları bazı açılardan Sunburst'a daha da benziyor. Kazuar'ın geliştirildiği yıllar boyunca, Kaspersky uzmanları Sunburst benzeri önemli özellikler ekleyerek sürekli bir gelişim gördüler. Bu benzerlikler, Sunburst'un Kazuar ile aynı grup tarafından geliştirilmiş olması veya Sunburst geliştiricilerinin şablon olarak Kazuar'ı kullanması veya bir Kazuar geliştiricisinin Sunburst ekibine geçmesi veya Sunburst ve Kazuar'ın arkasındaki iki grubun olması gibi çeşitli nedenlerden kaynaklanabilir. her biri kötü amaçlı yazılımlarını aynı kaynaktan aldı.
Solarwinds saldırısının arkasında kim var?
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) başkanı Costin Raiu, "Keşfedilen bağlantı, Solarwinds saldırısının arkasında kimin olduğunu ortaya çıkarmıyor, ancak araştırmacıların bu analizi daha da ilerletmelerine yardımcı olabilecek ek bilgiler sağlıyor" dedi. "Dünyadaki diğer araştırmacıların bu benzerlikleri araştırmasının ve Kazuar ve Solarwinds'e karşı kullanılan sunburst kötü amaçlı yazılımının kaynağı hakkında daha fazla bilgi edinmeye çalışmasının önemli olduğuna inanıyoruz. Örneğin, WannaCry saldırısının ilk günlerinde, onu Lazarus grubuyla ilişkilendiren çok az gerçek vardı. Ancak zamanla, bizim ve diğerlerinin bunları yüksek bir olasılıkla ilişkilendirmesine izin veren daha fazla kanıt bulduk. Daha kapsamlı bir resim elde etmek için bu tür saldırıların daha fazla analiz edilmesi çok önemlidir.”
Kaspersky.com'da daha fazla bilgi edinin
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi