Kázmér
-2 °C
15 °C

SolarWinds: hasonlóságra bukkantak egy másik rosszindulatú kódban

2021.01.14. 06:07
Hasonló a SolarWinds elleni támadáshoz használt Sunburst malware és a három éve ismert Kazuar hátsó kapu kódja.

2020. december 13-án a FireEye, a Microsoft és a SolarWinds egy ellátási lánc ellen irányuló nagyszabású, kifinomult támadás felfedezéséről számolt be, amelyben egy korábban ismeretlen malware-t – a Sunburstöt – vetették be a SolarWinds Orion platformja informatikai ügyfeleinek támadásához. 

A Kaspersky kiberbiztonsági cég szakemberei többféle kódolási hasonlóságot találtak a Sunburst és a Kazuar hátsó kapuk – azaz az áldozat gépéhez távoli hozzáférést biztosító malware-típus – ismert verziói között. Az új megállapítások olyan meglátásokkal szolgálnak, amelyek segítségével a kutatók előrelépést érhetnek el a támadás kivizsgálásában.

A Sunburst által használt hátsó kapu tanulmányozása közben több olyan jellemzőt is felfedeztek, amelyek átfedéseket mutatnak a – korábban a .NET keretrendszer használatával létrehozott hátsó kapuként azonosított – Kazuarral. A kiberkém-támadásokhoz világszerte használt Kazuarról először Palo Alto számolt be 2017-ben. A kódban felfedezett többféle hasonlóság arra enged következtetni, hogy kapcsolat van a Kazuar és a Sunburst között, bár a kapcsolat jellegét még nem sikerült meghatározni.

A Sunburst és a Kazuar közötti átfedések közé tartozik többek között az áldozat felhasználói azonosítójának generálására szolgáló algoritmus, az alvó algoritmus kódolási hasonlóságai, valamint az FNV1a hash (egy egyszerű hash funkció) széleskörű használata a karakterláncok összehasonlításának összezavarására. A kódrészletek azonban különbözőek. A szakemberek szerint elképzelhető, hogy a Sunburstöt a Kazuar forráskódjáról még valamikor 2019 végén készült pillanatfelvétel alapján hozták létre.

A Kazuar ráadásul folyamatosan fejlődött, és a 2020-as későbbi variánsok bizonyos tekintetben még nagyobb hasonlóságot mutatnak a Sunburst válfajjal. A Kazuar első megjelenése óta eltelt években folyamatos fejlődést figyeltek meg, amelynek során a malware a Sunbursthöz hasonló jellemzőkkel bővült. Bár a Kazuar és a Sunburst közötti hasonlóságok figyelemre méltóak, a létezésüknek számos oka lehet, többek között például az, hogy a Sunburstöt ugyanaz a csoport fejlesztette ki, mint a Kazuart, vagy hogy a Sunburst fejlesztői inspirációként használták a Kazuart, vagy hogy a Kazuar egyik fejlesztője átment a Sunburst csapatához, 

vagy akár az, hogy a Sunburst és a Kazuar mögött álló csoport is ugyanabból a forrásból szerezte a malware-t.

A múltbéli tapasztalatokból ítélve, például a Wannacry támadásra visszatekintve az elején nagyon kevés tény utalt a Lazarus csoporttal fennálló kapcsolatra. Idővel azonban több bizonyíték került elő, amelyek alapján mi is és mások is nagy magabiztossággal következtethetünk a kapcsolatra. Nagyon fontos további kutatásokat folytatni a témában, hogy összeköthessük a pontokat

– fejtette ki Costin Raiu, a Kaspersky globális kutató és elemző csapatának igazgatója.