FireEye, Microsoft og SolarWinds offentliggjorde d. 13. december 2020 et stort, sofistikeret hackerangreb på forsyningskæden, der implementerede den ukendte malware Sunburst, der blev brugt mod SolarWinds’ Orion it-kunder.
Kaspersky forbinder SolarWinds-angreb med Kazuar-bagdør
Kasperskys eksperter har nu fundet specifikke ligheder i koden mellem Sunburst og kendte versioner af Kazuar-bagdøre. Denne information kan være med til at afdække mere viden om angrebet.
Kasperskys eksperter har undersøgt Sunburst-bagdøren og har opdaget en række funktioner, der overlapper med tidligere identificerede Kazuar-bagdøre (den type malware, der giver fjernadgang til offerets maskine). Bagdørene blev kodet ved hjælp af .NET framework, som først blev rapporteret af Palo Alto i 2017 og som siden er blevet anvendt i cyberspionage-angreb over hele kloden. Kaspersky har opdaget en række ligheder i koden, hvilket antyder en forbindelse mellem Kazuar og Sunburst.
De overlappende funktioner mellem Sunburst og Kazuar inkluderer: offerets UUID-genereringsalgoritme (en Universal Unique Identifier er et 128-bitnummer, der bruges til entydigt at identificere en specifik enhed på nettet. Algoritmen autogenererer nummeret. Via et UUID kan man adressere en specifik enhed, så den kan tilgås og interageres med), den sovende algoritme og en omfattende brug af FNV-1a-hash (Hash er et unikt nummer genereret ud fra en algoritme. Nummeret bruges oftest til at kontrollere indholdet, hvor to filer kan have samme indhold, men have to forskellige filnavne). Ifølge Kaspersky er disse kodefragmenter ikke 100 procent identiske, men det ser ud til at Kazuar og Sunburst kan være relaterede.
Efter Sunburst-malwaren først blev implementeret i februar 2020, fortsatte Kazuar med at udvikle sig, og senere varianter i 2020 har flere lighedstegn med Sunburst.
Kasperskys eksperter har fulgt Kazuars udvikling over de seneste år, hvor koden til bagdøren har udviklet sig, så den mere og mere ligner Sunburst. Lighederne mellem Kazuar og Sunburst er bemærkelsesværdige, og kan betyde flere ting; At Sunburst er udviklet af den samme gruppe som Kazuar, at Sunburst-udviklere bruger Kazuar som inspiration til egen kode, at en Kazuar-udvikler er rykket over til Sunburst-teamet eller at både Sunburst- og Kazuar-teamet har fået deres malware fra samme kilde.
”Den forbindelse vi har identificeret, afslører ikke, hvem der står bag SolarWinds-angrebet, men giver mere indsigt i malwaren, så it-sikkerhedsefterforskere kan komme videre med deres undersøgelse af angrebet. Vi mener, det er vigtigt, at it-sikkerhedsefterforskere fra resten af verden også undersøger Kazuar, så vi sammen kan opspore oprindelsen af Sunburst, den malware, der bruges i SolarWinds-angrebet. At dømme ud fra tidligere erfaringer, f.eks. ved WannaCry-angrebet, var der i begyndelsen ikke meget, der forbandt dem til Lazarus-gruppen. Med tiden dukkede flere og flere beviser op, som ledte til at vi og andre it-sikkerhedsefterforskere kunne konkludere, at der var en sammenhæng mellem de to. Yderligere efterforskning er derfor afgørende for, om vi kan finde frem til gruppen,” siger Costin Raiu, direktør for Kasperskys globale analyse- og efterforskningsenhed GReAT.
Læs gerne mere om de tekniske detaljer ved ligheden mellem Sunburst og Kazaur i Kasperskys rapport på Securelist. Du kan også læse mere om Kasperskys research omkring Sunburst her og se, hvordan Kaspersky beskytter deres kunder mod Sunburst bagdøren her.
For at undgå at blive inficeret af malware såsom Sunburst-bagdøre, anbefaler Kaspersky:
- Giv din it-afdeling adgang til den nyeste trusselsinformation (TI). Kaspersky Threat Intelligence Portal giver adgang til virksomhedens TI og leverer data og indsigter om cyberangreb indsamlet af Kaspersky igennem mere end 20 år. Gratis adgang til funktioner, der giver brugerne mulighed for at kontrollere filer, URL’er og IP-adresser er tilgængelige her.
- Organisationer, der gerne vil foretage deres egne undersøgelser, får gavn af Kaspersky Threat attribution Engine. Den kører ondsindet kode gennem malware-databaser og sammenligner koden med allerede afslørede APT-kampagner.
