Злом SolarWinds: експерти Касперського виявили схожість коду шкідливого ПЗ Sunburst і бекдора Kazuar.
Фахівці Kaspersky виявили певну схожість коду між Sunburst і відомими версіями бекдора Kazuar. Цей тип шкідливого програмного забезпечення дозволяє віддалений доступ до комп’ютера жертви. Нові відкриття можуть допомогти дослідникам ІТ-безпеки в аналізі атаки.
У середині грудня 2020 року FireEye, Microsoft і SolarWinds оголосили про виявлення великої, дуже складної атаки на ланцюжок постачання з використанням раніше невідомого зловмисного програмного забезпечення «Sunburst» проти клієнтів SolarWinds Orion.
Аналіз виявляє схожість
Аналізуючи бекдор Sunburst, дослідники безпеки Kaspersky виявили ряд функцій, які збігаються з функціями бекдора Kazuar, написаного в .NET Framework. Kazuar був вперше описаний Palo Alto у 2017 році та приписаний актору APT Турлі, який використовував цей бекдор для кібершпигунських атак по всьому світу. Декілька подібностей у коді вказують на зв’язок між Kazuar і Sunburst, хоча й поки що невизначеного характеру.
Подібності між Sunburst і Kazuar включають UID (ідентифікатор користувача), алгоритм генерації, алгоритм сну та широке використання хешу FNV1a.На думку експертів, ці фрагменти коду не є на 100 відсотків ідентичними, що свідчить про те, що Kazuar і Sunburst можуть бути пов’язані, хоча Природа цих відносин не зовсім ясна.
Kazuar схожий на Sunburst
Після того, як у лютому 2020 року було вперше розгорнуто зловмисне програмне забезпечення Sunburst, Kazuar еволюціонував, а пізніші варіанти 2020 року в деяких аспектах ще більше схожі на Sunburst. За роки розробки Kazuar експерти Kaspersky постійно розвивалися, додаючи значні функції, схожі на Sunburst. Ця подібність може бути зумовлена різними причинами, наприклад, Sunburst була розроблена тією ж групою, що й Kazuar, або розробники Sunburst використовували Kazuar як шаблон, або розробник Kazuar перейшов до команди Sunburst, або дві групи за Sunburst і Kazuar кожен отримав своє шкідливе програмне забезпечення з одного джерела.
Хто стоїть за атакою Solarwinds?
«Виявлений зв’язок не розкриває, хто стоїть за атакою Solarwinds, але надає додаткову інформацію, яка може допомогти дослідникам у подальшому просуванні цього аналізу», — сказав Костін Райу, керівник Global Research and Analysis Team (GReAT) Kaspersky. «Ми вважаємо, що для інших дослідників у всьому світі важливо дослідити ці подібності та спробувати дізнатися більше про Kazuar і походження шкідливого програмного забезпечення Sunburst, яке використовується проти Solarwinds. Наприклад, у перші дні атаки WannaCry було дуже мало фактів, що пов’язували б її з групою Lazarus. Проте з часом ми знайшли більше доказів, які дозволили нам та іншим пов’язати їх із високою ймовірністю. Подальший аналіз таких атак має вирішальне значення для отримання більш повної картини».
Дізнайтеся більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/