Kazuar si Sunburst – veriga lipsa: expertii fac legatura intre atacul SolarWinds si backdoor-ul Kazuar

0
14741

Pe 13 decembrie 2020, FireEye, Microsoft si SolarWinds au anuntat descoperirea unui atac cibernetic sofisticat, asupra lantului de aprovizionare, care a scos la iveala un nou malware, „Sunburst”, necunoscut anterior, folosit impotriva clientilor IT ai SolarWinds care utilizau Orion IT. Expertii Kaspersky au gasit diferite asemanari la nivel de cod intre Sunburst si versiunile cunoscute ale backdoor-urilor Kazuar – tipul de malware care ofera acces de la distanta la dispozitivele victimelor. Noile descoperiri ofera informatii care pot ajuta cercetatorii sa avanseze in investigarea acestui atac.

In timp ce studiau backdoor-ul Sunburst, expertii Kaspersky au descoperit o serie de caracteristici similare cu cele ale unui Kazuar identificat anterior, un backdoor scris folosind reteaua .NET, raportat pentru prima data de Palo Alto in 2017 si utilizat in atacurile cibernetice de spionaj din intreaga lume. Multiple similitudini la nivel de cod sugereaza o legatura intre Kazuar si Sunburst, desi natura acesteia este, inca, nedeterminata.

Similitudinile dintre Sunburst si Kazuar includ algoritmul de generare UID al victimei, algoritmul de inactivitate (sleeping algorithm) si utilizarea extinsa a hash-ului FNV-1a. Potrivit expertilor, aceste fragmente de cod nu sunt 100% identice, sugerand ca intre Kazuar si Sunburst poate exista o legatura, dar natura acestei relatii nu este inca clara.

Dupa ce malware-ul Sunburst a fost lansat pentru prima data, in februarie 2020, Kazuar a continuat sa evolueze, iar variantele din 2020 sunt si mai asemanatoare, in anumite privinte, cu Sunburst.

Per ansamblu, in cei cativa ani de la identificarea Kazuar, expertii au observat o evolutie continua, si adaugarea de noi caracteristici semnificative, care seamana cu Sunburst. Desi aceste asemanari intre Kazuar si Sunburst sunt relevante, ar putea exista o multime de motive pentru existenta lor, inclusiv faptul ca Sunburst este dezvoltat de acelasi grup care dezvolta si Kazuar, atacatorii din spatele Sunburst folosind Kazuar ca punct de inspiratie. Un alt motiv poate fi reprezentat de mutarea unuia dintre dezvoltatorii Kazuar in echipa Sunburst sau faptul ca ambele grupuri din spatele Sunburst si Kazuar au obtinut malware-ul din aceeasi sursa.

„Legatura identificata nu scoate la iveala cine a fost in spatele atacului SolarWinds, insa ofera mai multe informatii care pot ajuta cercetatorii sa avanseze in aceasta investigatie. Consideram ca este important ca si alti cercetatori din intreaga lume sa investigheze aceste asemanari si sa incerce sa descopere mai multe informatii despre Kazuar si originea Sunburst, malware-ul folosit in bresa SolarWinds. Din experienta trecuta, de exemplu analizand atacul WannaCry, stim ca in primele zile au existat foarte putine indicii care sa il  lege de grupul Lazarus. In timp, insa, au aparut tot mai multe dovezi care ne-au permis sa facem legatura intre grup si atac cu mai mare incredere. Cercetarile suplimentare pe aceasta tema sunt cruciale pentru a pune cap la cap informatiile”, comenteaza Costin Raiu, directorul echipei globale de cercetare si analiza GREAT a Kaspersky.

Aflati mai multe detalii tehnice despre asemanarile dintre Sunburst si Kazuar in raportul disponibil pe Securelist. Cititi mai multe despre cercetarile Kaspersky despre Sunburst aici si aflati cum Kaspersky isi protejeaza clientii impotriva atacurilor backdoor Sunburst, aici.

Pentru a evita riscurile de infectare cu programe malware, cum ar fi Sunburst backdoor, Kaspersky recomanda:

  • Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii privind amenintarile cibernetice (TI). Kaspersky Threat Intelligence Portal ofera acces la TI-ul companiei, oferind date despre atacuri cibernetice si informatii colectate de Kaspersky de mai bine de 20 de ani. Accesul gratuit la functiile sale esentiale permite utilizatorilor sa verifice fisiere, adrese URL si adrese IP si este disponibil aici.
  • Organizatiile care isi doresc sa efectueze propriile investigatii pot folosi Kaspersky Threat Attribution Engine. Acesta compara codurile de atac descoperite cu cele existente deja in bazele de date de malware si, pe baza asemanarilor la nivel de cod, le poate atribui campaniilor APT identificate anterior.

LEAVE A REPLY

Please enter your comment!
Please enter your name here