Kazual Sunburst – karika koja je nedostajala: stručnjaci su povezali Solarwinds napad sa Kazuar bekdorom

0

Кompanije FireEye, Microsoft i SolarWindssu13. decembra 2020. godine,  objavile otkriće obimnog, sofisticiranog napada na lanac snabdevanja iza koga stoji prethodno nepoznat malver “Sunburst” koji je korišćen protiv Orion IT korisnika kompanije SolarWinds. Istraživači kompanije Kaspersky su pronašli razne sličnosti u kodu između Sunburst malvera i poznate verzije Kazuar bekdorova – tipa malvera koji obezbeđuje daljinski pristup uređaju žrtve. Novi nalazi pružaju uvide koji istraživačima mogu da pomognu da napreduju u svom istraživanju napada.

Prilikom proučavanja Sunburst bekdora stručnjaci kompanije Kaspersky  otkrili su brojne sličnosti sa prethodno identifikovanim Kazuar bekdorom koji je napisan korišćenjem .NET okvira, o kome je prva izvestila kompanija Palo Alto 2017. godine i koji je korišćen u sajber-špijunažnim napadima širom sveta. Mnoštvo sličnosti u kodu ukazuje na povezanost Kazuar i Sunburst bekdorova, mada je priroda te povezanosti još uvek neutvrđena.

Preklapajuće karakteristike Sunburst i Kazuar bekdorova uključuju algoritam za generisanje UID žrtve, algoritam spavanja i široku upotrebu FNV-1a heš funkcije. Prema stručnjacima, ovi fragmenti koda nisu 100% identični, što ukazuje na to da Kazuar i Sunburst mogu biti povezani, mada priroda te povezanosti još uvek nije potpuno jasna.

Nakon što je Sunburst malver po prvi put upotrebljen u februaru 2020, Kazuar je nastavio da se razvija i kasnije varijante iz 2020. godine su u nekim aspektima još sličnije Sunburst malveru.

Ukupno gledano, tokom godina evolucije Kazuar malvera, stručnjaci su uočili kontinuirani razvoj koji je podarzumevao dodavanje karakteristika sličnih Sunburst malveru. Dok su ove sličnosti između Kazuar i Sunburst malvera primetne, za njihovo postojanje može biti mnogo razloga, uključujući  i mogućnosti da je Sunburst malver razvila ista grupa kao i Kazuar, da su programeri Sunburst malvera koristili Kazuar za inspiraciju, da je jedan od programera Kazuar malvera prešao u Sunburst tim, ili da su obe grupe koje stoje iza Sunburst i Kazuar bekdorova svoj malver pribavile od istog izvora.

“Identifikovana veza ne ukazuje na to ko stoji iza SolarWinds napada, ali pruža dalje uvide koji istraživačima mogu da pomognu da napreduju u ovoj istrazi. Verujemo da je vemoa važno da drugi istraživači širom sveta istraže ove sličnosti i pokušaju da otkriju više činjenica o Kazuar malveru i poreklu Sunburst malvera koji je korišćen u SolarWinds napadu. Prethodna iskustva nam pokazuju da, na primer, kada se osvrnemo unazad na WannaCry napad, u prvim danima, postojalo je jako malo činjenica koje su ga povezivale sa grupom Lazarus. Vremenom se pojavilo više dokaza koji su nama, i drugima, omogućili da ih povežemo sa velikom pouzdanošću. Dalje istraživanje ove teme je ključno za povezivanje dokaza,” komentariše Kostin Raiu (Costin Raiu), direktor tima za globalno istraživanje i analizu u kompaniji Kaspersky.

Saznajte više tehničkih detalja o sličnostima između Sunburst i Kazuar malvera u izveštaju na Securelist. Pročitajte više o istraživanju kompanije Kaspersky o Sunburst malveru ovde i saznajte kako kompanija Kaspersky štiti svoje klijente od Sunburst bekdora ovde.

Kako biste izbegli rizik od infekcije malverom kao što je Sunburst bekdor, kompanija Kaspersky predlaže sledeće:

  • Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama (threat intelligence – TI). Kaspersky Threat Intelligence Portal obezbeđuje pristup informacijama o pretnjama kojima kompanija raspolaže, pružajući podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina. Besplatan pristup dodatnim opcijama koje korisnicima omogućavaju da provere fajlove, URL i IP adrese je dostupan ovde.
  • Organizacijama koje bi želele da samostalno sprovode svoje istrage od pomoći može biti rešenje Kaspersky Threat Attribution Engine. Ono proverava otkriveni maliciozni kod u bazi podataka o malverima i zatim ga, na osnovu sličnosti u kodu, pripisuje prethodno otkrivenim APT kampanjama.
Share.

Leave A Reply