ГлавнаябезопасностьБэкдор SolarWinds Sunburst: общие компоненты с вредоносным ПО российской APT-группы

Бэкдор SolarWinds Sunburst: общие компоненты с вредоносным ПО российской APT-группы

Исследователи безопасности Kaspersky обнаружил, что Бэкдор Sunburst, вредоносных программ разработан во время цепочки поставок атака на SolarWinds, представляет особенности, общие для Kazuar, бэкдора .NET, связанного с российской хакерской группой Turla.

Бэкдор SolarWinds Sunburst
Бэкдор SolarWinds Sunburst: общие компоненты с вредоносным ПО российской APT-группы

Turla, также известная как Ядовитый медведь и Водяной клоп, выполняет шпионские кампании и кража данных с 1996 года и для многих экспертов является главным подозреваемым в нападки в Пентагоне, НАСА, Центральное командование США и Министерство иностранных дел Финляндии.

Kazuar - один из инструментов, которые использовались во время предыдущих атак русской Turla. По мнению исследователей «Лаборатории Касперского», у него много общего с программным обеспечением, используемым командой, стоящей за атакой SolarWinds (эта команда отслеживается по именам UNC2452 и DarkHalo).

Ее представитель Правительство США, но также ФБР, h CISA и NSA также заявили, что злоумышленник скорее всего, это российская APT-команда.

Бэкдор SolarWinds Sunburst: общие компоненты с вредоносным ПО российской APT-группы

Сходства кода

Образцы бэкдора Kazuar показывают значительное сходство с Sunburst.

Одна из общих черт - алгоритм, используемый для создания UID для жертв (уникальные идентификаторы жертвы), широкое использование хэша FNV-1a в обоих вредоносных программ и алгоритм сна используется бэкдорами Kazuar и Sunburst.

Касперский указывает также что, несмотря на сходство, алгоритмы, используемые для реализации этих перекрывающихся возможностей все еще не идентичны на 100%. Поэтому они считают, что есть какая-то связь между двумя вредоносными программами но "природа этих отношений еще не совсем ясна».

Фрагменты кода, которые обнаруживают перекрытие, показывают, что «своего рода аналогичный мыслительный процесс был использован при разработке бэкдора Kazuar и Sunburst».

Касперский дал некоторые возможные объяснения для вышеуказанного сходства:

  • Sunburst был разработан той же командой, которая создавала бэкдор Kazuar.
  • Разработчики Sunburst позаимствовали некоторые идеи или фрагменты кода от Kazuar без прямой ссылки (вдохновлено Kazuar)
  • Обе команды, DarkHalo / UNC2452 и команда, использующая Kazuar (Turla), получили свое вредоносное ПО из одного источника.
  • Некоторые из разработчиков Kazuar стали участниками другого взлом команда, используя идеи и инструменты из прошлого и создавая похожие вредоносные программы
  • Разработчики бэкдора Sunburst подумали об использовании других известных вредоносных программ, чтобы их внимание не было связано с другой хакерской группой.

Исследователи «Лаборатории Касперского» отметили, что последнее объяснение весьма вероятно. Разработчики бэкдора Sunburst могли намеренно добавить общие функции, чтобы ввести экспертов в заблуждение и возложить ответственность за атака в SolarWinds в другом месте.

Хотя Казуар и Санберст связаны, природа этих отношений все еще неясна.", - сказал Касперский. "В результате дальнейшего анализа, вероятно, появятся доказательства, подтверждающие одно или несколько из приведенных выше объяснений.».

Чтобы уточнить - Мы НЕ говорим, что DarkHalo / UNC2452, команда, которая использует Sunburst и Turla, обязательно является одной и той же командой.».

Однако похоже, что разработчики Sunburst и Kazuar, вероятно, знали об изменениях функций в каждом программном обеспечении, что свидетельствует о связи между ними.

Бэкдор SolarWinds Sunburst: общие компоненты с вредоносным ПО российской APT-группы

Бэкдор Sunburst появился в декабре, когда стало известно об атаке SolarWinds. С другой стороны, Казуар был значительно изменен по сравнению с его первоначальной формой, когда он был найден в нападки в 2017 году. Образцы Kazuar, однако, редко загружаются на платформы анализа вредоносных программ, такие как VirusTotal, поэтому очень сложно успевать за происходящими изменениями.

Эта ссылка не указывает, кто стоял за атакой на SolarWinds, однако она предоставляет дополнительную информацию, которая может помочь исследователям в этом расследовании.Сказал Костин Райу, директор группы глобальных исследований и анализа Kaspersky (GReAT).

Мы считаем, что другие важны исследователи по всему миру, чтобы изучить эти сходства и попытаться узнать больше элементы о Казуаре и происхождении Sunburst».

Источник: Bleeping Computer

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!
spot_img

ЖИВЫЕ НОВОСТИ