Οι ειδικοί συνδέουν την επίθεση στη SolarWinds με το Kazuar backdoor

Στις 13 Δεκεμβρίου 2020, η FireEye, η Microsoft και η SolarWinds ανακοίνωσαν την ανακάλυψη μιας μεγάλης, εξελιγμένης επίθεσης αλυσίδας εφοδιασμού που ανέπτυξε το νέο, προηγουμένως άγνωστο κακόβουλο λογισμικό “Sunburst” που χρησιμοποιήθηκε εναντίον των πελατών της SolarWinds Orion IT.

Οι ειδικοί της Kaspersky εντόπισαν διάφορες συγκεκριμένες ομοιότητες κώδικα μεταξύ

του Sunburst και γνωστών εκδόσεων των Kazuar backdoors – τον τύπο του κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στη μηχανή του θύματος. Τα νέα ευρήματα παρέχουν πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν στη διερεύνηση της επίθεσης.

Ενώ ερευνούσαν το Sunburst backdoor, οι ειδικοί της Kaspersky ανακάλυψαν μια σειρά χαρακτηριστικών που αλληλεπικαλύπτονται με το Kazuar που είχε προηγουμένως προσδιοριστεί, ένα backdoor που γράφτηκε χρησιμοποιώντας το πλαίσιο .NET που αναφέρθηκε για πρώτη φορά από το Palo Alto το 2017 και χρησιμοποιήθηκε σε ψηφιακές επιθέσεις σε όλο τον κόσμο. Πολλές ομοιότητες στον κώδικα υποδηλώνουν μια σύνδεση μεταξύ Kazuar και Sunburst, αν και απροσδιόριστης φύσης.

Τα αλληλεπικαλυπτόμενα χαρακτηριστικά μεταξύ Sunburst και Kazuar περιλαμβάνουν τον αλγόριθμο παραγωγής UID θύματος, τον αλγόριθμο αδράνειας και την εκτεταμένη χρήση του FNV-1a hash. Σύμφωνα με τους ειδικούς, αυτά τα τμήματα κώδικα δεν είναι 100% πανομοιότυπα, γεγονός που υποδηλώνει ότι τα Kazuar και Sunburst μπορεί να σχετίζονται, αν και η φύση αυτής της σχέσης δεν είναι ακόμη απολύτως σαφής.  

Μετά την πρώτη ανάπτυξη του κακόβουλου λογισμικού Sunburst, τον Φεβρουάριο του 2020, το Kazuar συνέχισε να εξελίσσεται και αργότερα οι παραλλαγές του 2020 είναι ακόμη πιο παρόμοιες με το Sunburst. 

Συνολικά, κατά τη διάρκεια των ετών εξέλιξης του Kazuar, οι ειδικοί παρατήρησαν μια συνεχή εξέλιξη, στην οποία προστέθηκαν σημαντικά χαρακτηριστικά που μοιάζουν με το Sunburst. Ενώ αυτές οι ομοιότητες μεταξύ Kazuar και Sunburst είναι αξιοσημείωτες, θα μπορούσαν να υπάρχουν πολλοί λόγοι για την ύπαρξή τους, μεταξύ των οποίων το Sunburst να αναπτύχθηκε από την ίδια ομάδα με το Kazuar, οι προγραμματιστές του Sunburst να χρησιμοποιούν το Kazuar ως σημείο έμπνευσης, η μετακίνηση ενός από τους προγραμματιστές της Kazuar στην ομάδα Sunburst, ή και οι δύο ομάδες πίσω από τα Sunburst και Kazuar να έχουν αποκτήσει το κακόβουλο λογισμικό τους από την ίδια πηγή.

«Η αναγνωρισμένη σύνδεση δεν μαρτυρά ποιος ήταν πίσω από την επίθεση στη SolarWinds, ωστόσο, παρέχει περισσότερες πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν σε αυτήν την έρευνα. Πιστεύουμε ότι είναι σημαντικό οι άλλοι ερευνητές σε όλο τον κόσμο να διερευνήσουν αυτές τις ομοιότητες και να προσπαθήσουν να ανακαλύψουν περισσότερα στοιχεία σχετικά με το Kazuar και την προέλευση του Sunburst, το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην παραβίαση της SolarWinds. Κρίνοντας από την εμπειρία του παρελθόντος, για παράδειγμα, κοιτάζοντας πίσω την επίθεση WannaCry, τις πρώτες μέρες, υπήρχαν πολύ λίγα γεγονότα που τη συνέδεαν με την ομάδα Lazarus. Με την πάροδο του χρόνου, εμφανίστηκαν περισσότερα στοιχεία και μας επέτρεψαν, και άλλοι, να τα συνδέσουμε με μεγάλη εμπιστοσύνη. Η περαιτέρω έρευνα σχετικά με αυτό το θέμα είναι ζωτικής σημασίας για τη σύνδεση των κουκκίδων», σχολιάζει ο Costin Raiu, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky.

Μάθετε περισσότερες τεχνικές λεπτομέρειες σχετικά με τις ομοιότητες Sunburst και Kazuar στην έκθεση στη Securelist. Διαβάστε περισσότερα για την έρευνα της Kaspersky σχετικά με το Sunburst εδώ και μάθετε πώς η Kaspersky προστατεύει τους πελάτες της από το Sunburst backdoor εδώ.

Για να αποφευχθούν κίνδυνοι μόλυνσης από κακόβουλο λογισμικό, όπως το Sunburst backdoor, η Kaspersky συνιστά:

Παρέχετε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη πληροφορία για απειλές (TI). Το Kaspersky Threat Intelligence Portal παρέχει πρόσβαση στο TI της εταιρείας, παρέχοντας δεδομένα και πληροφορίες για ψηφιακές επιθέσεις που συγκεντρώθηκαν από την Kaspersky για περισσότερα από 20 χρόνια. Εδώ διατίθεται δωρεάν πρόσβαση στις επιμελημένες δυνατότητές  του που επιτρέπουν στους χρήστες να ελέγχουν αρχεία, διευθύνσεις URL και διευθύνσεις IP.Οι οργανισμοί που θα ήθελαν να πραγματοποιήσουν τις δικές τους έρευνες θα επωφεληθούν από το Kaspersky Threat Attribution Engine. Ταιριάζει τον εντοπισμένο κακόβουλο κώδικα με βάσεις δεδομένων κακόβουλου λογισμικού και, με βάση τις ομοιότητες του κώδικα, τον αποδίδει σε εκστρατείες APT που είχαν αποκαλυφθεί κατά το παρελθόν.