Hasonlóságok a SolarWinds elleni támadáshoz használt Sunburst és a Kazuar között

|

2020. december 13-án a FireEye, a Microsoft és a SolarWinds egy ellátási lánc ellen irányuló nagyszabású, kifinomult támadás felfedezéséről számolt be, amelyben egy korábban ismeretlen malware-t - a Sunburstöt - vetették be a SolarWinds Orion platformja informatikai ügyfeleinek támadásához.

A Sunburst által használt hátsó kapu tanulmányozása közben a Kaspersky szakemberei több olyan jellemzőt is felfedeztek, amelyek átfedéseket mutatnak a - korábban a .NET keretrendszer használatával létrehozott hátsó kapuként azonosított - Kazuarral. A kiberkém-támadásokhoz világszerte használt Kazuarról először Palo Alto számolt be 2017-ben. A kódban felfedezett többféle hasonlóság arra enged következtetni, hogy kapcsolat van a Kazuar és a Sunburst között, bár a kapcsolat jellegét még nem sikerült meghatározni.

A Sunburst és a Kazuar közötti átfedések közé tartozik többek között az áldozat felhasználói azonosítójának generálására szolgáló algoritmus, az alvó algoritmus kódolási hasonlóságai, valamint az FNV1a hash (egy egyszerű hash funkció) széleskörű használata a karakterláncok összehasonlításának összezavarására. A kódrészletek azonban különbözőek. A szakemberek szerint elképzelhető, hogy a Sunburstöt a Kazuar forráskódjáról még valamikor 2019 végén készült pillanatfelvétel alapján hozták létre.

A Kazuar ráadásul folyamatosan fejlődött, és a 2020-as későbbi variánsok bizonyos tekintetben még nagyobb hasonlóságot mutatnak a Sunburst válfajjal.

A Kazuar első megjelenése óta eltelt években a Kaspersky szakemberei folyamatos fejlődést figyeltek meg, amelynek során a malware a Sunbursthöz hasonló jellemzőkkel bővült. Bár a Kazuar és a Sunburst közötti hasonlóságok figyelemre méltóak, a létezésüknek számos oka lehet, többek között például az, hogy a Sunburstöt ugyanaz a csoport fejlesztette ki, mint a Kazuart, vagy hogy a Sunburst fejlesztői inspirációként használták a Kazuart, vagy hogy a Kazuar egyik fejlesztője átment a Sunburst csapatához, vagy akár az, hogy a Sunburst és a Kazuar mögött álló csoport is ugyanabból a forrásból szerezte a malware-t.

"A felfedezett kapcsolatból nem derül ki, hogy ki állt a SolarWindset érő támadás mögött, azonban olyan meglátásokkal szolgál, amelyek segítségével a kutatók előbbre juthatnak a vizsgálatban. Véleményünk szerint fontos, hogy világszerte más kutatók is megvizsgálják ezeket a hasonlóságokat, és több tényt próbáljanak meg feltárni a Kazuar kapcsán, valamint a SolarWinds elleni támadáshoz használt Sunburst malware eredetéről. A múltbéli tapasztalatokból ítélve, például a Wannacry támadásra visszatekintve az elején nagyon kevés tény utalt a Lazarus csoporttal fennálló kapcsolatra. Idővel azonban több bizonyíték került elő, amelyek alapján mi is és mások is nagy magabiztossággal következtethetünk a kapcsolatra. Nagyon fontos további kutatásokat folytatni a témában, hogy összeköthessük a pontokat" - fejtette ki Costin Raiu, a Kaspersky globális kutató és elemző csapatának igazgatója.

A SolarWindset érő támadáshoz használt malware és a Kazuar közötti hasonlóságokról a Securelist weblapon találhatók további technikai részletek. Olvasson bővebben a Kaspersky Sunbursttel kapcsolatos kutatásáról itt, továbbá tudja meg itt, hogy miként nyújt védelmet a Kaspersky az ügyfeleinek a Sunburst hátsó kapu ellen.

A Kaspersky az alábbiakat javasolja a malware-ek (pl. a SolarWindset érő támadáshoz használt hátsó ajtó) általi fertőzés kockázatának kivédéséhez:

  • A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadásos adatokhoz és meglátásokhoz. A szolgáltatás válogatott funkcióhoz - melyek segítségével a felhasználók fájlokat, URL-eket és IP-címeket ellenőrizhetnek - itt lehet ingyenesen hozzáférni.
  • Azoknak a szervezeteknek, amelyek saját maguk akarnak vizsgálatokat végezni, a vállalat a Kaspersky Threat Attribution Engine elnevezésű eszköz használatát ajánlja. Az eszköz összehasonlítja a felfedezett kártékony kódot a malware-adatbázisokkal, és a kód hasonlóságai alapján hozzárendeli azt a korábban leleplezett APT-kampányokhoz.

 

0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.