Στις 13 Δεκεμβρίου 2020, η “FireEye”, η “Microsoft” και η “SolarWinds” ανακοίνωσαν την ανακάλυψη μιας μεγάλης, εξελιγμένης επίθεσης αλυσίδας εφοδιασμού, που ανέπτυξε το νέο —προηγουμένως άγνωστο— κακόβουλο λογισμικό “Sunburst”, που χρησιμοποιήθηκε εναντίον των πελατών της “SolarWinds Orion IT”.
Οι ειδικοί της Kaspersky εντόπισαν διάφορες συγκεκριμένες ομοιότητες κώδικα μεταξύ του “Sunburst”και γνωστών εκδόσεων των “Kazuar” backdoors· τον τύπο του κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στην μηχανή του θύματος. Τα νέα ευρήματα παρέχουν πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν στη διερεύνηση της επίθεσης.
Ενώ ερευνούσαν το “Sunburst” backdoor, οι ειδικοί της Kaspersky ανακάλυψαν μια σειρά χαρακτηριστικών που αλληλεπικαλύπτονται με το “Kazuar” —που είχε προηγουμένως προσδιοριστεί— ένα backdoor που γράφτηκε χρησιμοποιώντας το πλαίσιο “.NET”, που αναφέρθηκε για πρώτη φορά από το “Palo Alto” το 2017 και χρησιμοποιήθηκε σε ψηφιακές επιθέσεις σε όλο τον κόσμο. Πολλές ομοιότητες στον κώδικα υποδηλώνουν μια σύνδεση μεταξύ “Kazuar” και “Sunburst”, αν και απροσδιόριστης φύσης.
Τα αλληλεπικαλυπτόμενα χαρακτηριστικά μεταξύ “Sunburst” και “Kazuar” περιλαμβάνουν τον αλγόριθμο παραγωγής “UID” θύματος, τον αλγόριθμο αδράνειας και την εκτεταμένη χρήση του “FNV-1a hash”. Σύμφωνα με τους ειδικούς, αυτά τα τμήματα κώδικα δεν είναι 100% πανομοιότυπα, γεγονός που υποδηλώνει ότι τα “Kazuar” και “Sunburst” μπορεί να σχετίζονται, αν και η φύση αυτής της σχέσης δεν είναι ακόμη απολύτως σαφής.
Μετά την πρώτη ανάπτυξη του κακόβουλου λογισμικού “Sunburst”, τον Φεβρουάριο του 2020, το “Kazuar” συνέχισε να εξελίσσεται και αργότερα οι παραλλαγές του 2020 είναι ακόμη πιο παρόμοιες με το “Sunburst”.
Συνολικά, κατά την διάρκεια των ετών εξέλιξης του “Kazuar”, οι ειδικοί παρατήρησαν μια συνεχή εξέλιξη, στην οποία προστέθηκαν σημαντικά χαρακτηριστικά που μοιάζουν με το “Sunburst”. Ενώ αυτές οι ομοιότητες μεταξύ “Kazuar” και “Sunburst” είναι αξιοσημείωτες, θα μπορούσαν να υπάρχουν πολλοί λόγοι για την ύπαρξή τους· μεταξύ των οποίων: το “Sunburst” να αναπτύχθηκε από την ίδια ομάδα με το “Kazuar”, οι προγραμματιστές του “Sunburst” να χρησιμοποιούν το “Kazuar” ως σημείο έμπνευσης, η μετακίνηση ενός από τους προγραμματιστές της “Kazuar” στην ομάδα “Sunburst”, ή και οι δύο ομάδες πίσω από τα “Sunburst” και “Kazuar” να έχουν αποκτήσει το κακόβουλο λογισμικό τους από την ίδια πηγή.
Μάθετε περισσότερες τεχνικές λεπτομέρειες σχετικά με τις ομοιότητες “Sunburst” και “Kazuar” στην έκθεση στην Securelist. Διαβάστε περισσότερα για την έρευνα της Kaspersky σχετικά με το “Sunburst” εδώ.
Πηγή:
(Συνολικές Επισκέψεις: / Total Visits: 10)
(Σημερινές Επισκέψεις: / Today's Visits: 1)