Pe 13 decembrie 2020, FireEye, Microsoft și SolarWinds au anunțat descoperirea unui atac cibernetic sofisticat, asupra lanțului de aprovizionare, care a scos la iveală un nou malware, „Sunburst”, necunoscut anterior, folosit împotriva clienților IT ai SolarWinds care utilizau Orion IT. Experții Kaspersky au găsit diferite asemănări la nivel de cod între Sunburst și versiunile cunoscute ale backdoor-urilor Kazuar – tipul de malware care oferă acces de la distanță la dispozitivele victimelor. Noile descoperiri oferă informații care pot ajuta cercetătorii să avanseze în investigarea acestui atac.
În timp ce studiau backdoor-ul Sunburst, experții Kaspersky au descoperit o serie de caracteristici similare cu cele ale unui Kazuar identificat anterior, un backdoor scris folosind rețeaua .NET, raportat pentru prima dată de Palo Alto în 2017 și utilizat în atacurile cibernetice de spionaj din întreaga lume. Multiple similitudini la nivel de cod sugerează o legătură între Kazuar și Sunburst, deși natura acesteia este, încă, nedeterminată.
Similitudinile dintre Sunburst și Kazuar includ algoritmul de generare UID al victimei, algoritmul de inactivitate (sleeping algorithm) și utilizarea extinsă a hash-ului FNV-1a. Potrivit experților, aceste fragmente de cod nu sunt 100% identice, sugerând că între Kazuar și Sunburst poate exista o legătură, dar natura acestei relații nu este încă clară.
După ce malware-ul Sunburst a fost lansat pentru prima dată, în februarie 2020, Kazuar a continuat să evolueze, iar variantele din 2020 sunt și mai asemănătoare, în anumite privințe, cu Sunburst.
Per ansamblu, în cei câțiva ani de la identificarea Kazuar, experții au observat o evoluție continuă, și adăugarea de noi caracteristici semnificative, care seamănă cu Sunburst. Deși aceste asemănări între Kazuar și Sunburst sunt relevante, ar putea exista o mulțime de motive pentru existența lor, inclusiv faptul că Sunburst este dezvoltat de același grup care dezvoltă și Kazuar, atacatorii din spatele Sunburst folosind Kazuar ca punct de inspirație. Un alt motiv poate fi reprezentat de mutarea unuia dintre dezvoltatorii Kazuar în echipa Sunburst sau faptul că ambele grupuri din spatele Sunburst și Kazuar au obținut malware-ul din aceeași sursă.
„Legătura identificată nu scoate la iveală cine a fost în spatele atacului SolarWinds, însă oferă mai multe informații care pot ajuta cercetătorii să avanseze în această investigație. Considerăm că este important ca și alți cercetători din întreaga lume să investigheze aceste asemănări și să încerce să descopere mai multe informații despre Kazuar și originea Sunburst, malware-ul folosit în breșa SolarWinds. Din experiența trecută, de exemplu analizând atacul WannaCry, știm că în primele zile au existat foarte puține indicii care să îl lege de grupul Lazarus. În timp, însă, au apărut tot mai multe dovezi care ne-au permis să facem legătura între grup și atac cu mai mare încredere. Cercetările suplimentare pe această temă sunt cruciale pentru a pune cap la cap informațiile”, comentează Costin Raiu, directorul echipei globale de cercetare și analiză GREAT a Kaspersky.
Aflați mai multe detalii tehnice despre asemănările dintre Sunburst și Kazuar în raportul disponibil pe Securelist. Citiți mai multe despre cercetările Kaspersky despre Sunburst aici și aflați cum Kaspersky își protejează clienții împotriva atacurilor backdoor Sunburst, aici.
Pentru a evita riscurile de infectare cu programe malware, cum ar fi Sunburst backdoor, Kaspersky recomandă:
• Oferiți echipei dumneavoastră SOC acces la cele mai recente informații privind amenințările cibernetice (TI). Kaspersky Threat Intelligence Portal oferă acces la TI-ul companiei, oferind date despre atacuri cibernetice și informații colectate de Kaspersky de mai bine de 20 de ani. Accesul gratuit la funcțiile sale esențiale permite utilizatorilor să verifice fișiere, adrese URL și adrese IP și este disponibil aici.
• Organizațiile care își doresc să efectueze propriile investigații pot folosi Kaspersky Threat Attribution Engine. Acesta compară codurile de atac descoperite cu cele existente deja în bazele de date de malware și, pe baza asemănărilor la nivel de cod, le poate atribui campaniilor APT identificate anterior.