Pe 13 decembrie 2020, FireEye, Microsoft și SolarWinds au anunțat descoperirea unui atac cibernetic sofisticat, asupra lanțului de aprovizionare, care a scos la iveală un nou malware, „Sunburst”, necunoscut anterior, folosit împotriva clienților IT ai SolarWinds care utilizau Orion IT. Experții Kaspersky au găsit diferite asemănări la nivel de cod între Sunburst și versiunile cunoscute ale backdoor-urilor Kazuar - tipul de malware care oferă acces de la distanță la dispozitivele victimelor. Reamintim că uriașul atac cibernatic pare să fi fost inițiat din Rusia și este un atac extrem de puternic.

Atac ciberneticFoto: Yurii Tymchuk, Dreamstime.com

În timp ce studiau backdoor-ul Sunburst, experții Kaspersky au descoperit o serie de caracteristici similare cu cele ale unui Kazuar identificat anterior, un backdoor scris folosind rețeaua .NET, raportat pentru prima dată de Palo Alto în 2017 și utilizat în atacurile cibernetice de spionaj din întreaga lume. Multiple similitudini la nivel de cod sugerează o legătură între Kazuar și Sunburst, deși natura acesteia este, încă, nedeterminată.

Similitudinile dintre Sunburst și Kazuar includ algoritmul de generare UID al victimei, algoritmul de inactivitate (sleeping algorithm) și utilizarea extinsă a hash-ului FNV-1a. Potrivit experților, aceste fragmente de cod nu sunt 100% identice, sugerând că între Kazuar și Sunburst poate exista o legătură, dar natura acestei relații nu este încă clară.

După ce malware-ul Sunburst a fost lansat pentru prima dată, în februarie 2020, Kazuar a continuat să evolueze, iar variantele din 2020 sunt și mai asemănătoare, în anumite privințe, cu Sunburst.

Per ansamblu, în cei câțiva ani de la identificarea Kazuar, experții au observat o evoluție continuă, și adăugarea de noi caracteristici semnificative, care seamănă cu Sunburst. Deși aceste asemănări între Kazuar și Sunburst sunt relevante, ar putea exista o mulțime de motive pentru existența lor, inclusiv faptul că Sunburst este dezvoltat de același grup care dezvoltă și Kazuar, atacatorii din spatele Sunburst folosind Kazuar ca punct de inspirație.

Un alt motiv poate fi reprezentat de mutarea unuia dintre dezvoltatorii Kazuar în echipa Sunburst sau faptul că ambele grupuri din spatele Sunburst și Kazuar au obținut malware-ul din aceeași sursă.

„Legătura identificată nu scoate la iveală cine a fost în spatele atacului SolarWinds, însă oferă mai multe informații care pot ajuta cercetătorii să avanseze în această investigație. Considerăm că este important ca și alți cercetători din întreaga lume să investigheze aceste asemănări și să încerce să descopere mai multe informații despre Kazuar și originea Sunburst, malware-ul folosit în breșa SolarWinds. Din experiența trecută, de exemplu analizând atacul WannaCry, știm că în primele zile au existat foarte puține indicii care să îl lege de grupul Lazarus. În timp, însă, au apărut tot mai multe dovezi care ne-au permis să facem legătura între grup și atac cu mai mare încredere. Cercetările suplimentare pe această temă sunt cruciale pentru a pune cap la cap informațiile", comentează Costin Raiu, directorul echipei globale de cercetare și analiză GREAT a Kaspersky.