Στις 13 Δεκεμβρίου 2020, οι FireEye, Microsoft και SolarWinds ανακοίνωσαν ότι η SolarWinds είχε ανακαλύψει μια μεγάλη και περίπλοκη επίθεση αλυσίδας εφοδιασμού που ονομάζεται “Sunburst”, ένα νέο, προηγουμένως άγνωστο κακόβουλο λογισμικό που χρησιμοποιήθηκε εναντίον πελατών της Orion IT, σύμφωνα με τη δήλωση του Kaspersky. Οι ειδικοί της Kaspersky βρήκαν συγκεκριμένες ομοιότητες κώδικα μεταξύ Sunburst και γνωστών εκδόσεων Kazuar backdoors, ενός τύπου κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στο μηχάνημα του θύματος. Τα νέα ευρήματα παρέχουν νέες ενδείξεις που θα μπορούσαν να βοηθήσουν τους ερευνητές να αποκαλύψουν την πηγή της επίθεσης. Οι ομοιότητες στους κωδικούς υποδηλώνουν μια σύνδεση μεταξύ Kazuar και Sunburst.
Οι αλληλεπικαλυπτόμενες δυνατότητες μεταξύ Sunburst και Kazuar περιλαμβάνουν τον αλγόριθμο γενεάς UID, τον αλγόριθμο ύπνου και την εκτεταμένη χρήση του κατακερματισμού FNV-1a. Σύμφωνα με ειδικούς, αυτά τα τμήματα κώδικα δεν είναι 100 τοις εκατό πανομοιότυπα. Αυτό υποδηλώνει ότι ο Kazuar και ο Sunburst μπορεί να σχετίζονται, αλλά η φύση της σχέσης μεταξύ των δύο εξακολουθεί να μην είναι απολύτως σαφής.
Η Kazuar συνέχισε να εξελίσσεται τον Φεβρουάριο του 2020 μετά την πρώτη ανάπτυξη του κακόβουλου λογισμικού Sunburst. Οι παραλλαγές του Kazuar για το 2020 μοιάζουν ακόμη περισσότερο με το Sunburst από ορισμένες απόψεις.
Σε γενικές γραμμές, τη στιγμή που το Kazuar εξελίχθηκε, οι ειδικοί παρατήρησαν ότι εξελίσσεται συνεχώς, με σημαντικά χαρακτηριστικά παρόμοια με το Sunburst που προστίθενται. Ενώ αυτές οι ομοιότητες μεταξύ Kazuar και Sunburst είναι αξιοσημείωτες, υπάρχουν πολλές πιθανότητες για ποιο λόγο. Αυτές περιλαμβάνουν την ανάπτυξη των Sunburst και Kazuar από την ίδια ομάδα, προγραμματιστές Sunburst που εμπνέονται από την Kazuar, ορισμένοι προγραμματιστές της Kazuar αλλάζουν την ομάδα Sunburst ή Sunburst και Kazuar που τροφοδοτούνται από την ίδια κακόβουλη πηγή.
“ΠΑΡΕΤΕ ΤΗΝ ΠΡΟΣΒΑΣΗ ΣΤΗΝ ΟΜΑΔΑ ΣΤΗ ΝΕΟΤΕΡΑ ΑΠΕΙΛΗ ΑΝΟΙΞΗ”
Ο Costin Raiu, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης Kaspersky, σχολίασε στη δήλωση, “Ο προσδιορισμένος σύνδεσμος δεν αποκαλύπτει ποιος ήταν πίσω από την επίθεση SolarWinds, αλλά παρέχει περισσότερες πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν. Είναι αλήθεια ότι άλλοι ερευνητές σε όλο τον κόσμο ερευνούν αυτές τις ομοιότητες, η Sunburst που χρησιμοποιήθηκε στο Kazuar και η SolarWinds Κοιτάζοντας πίσω την επίθεση WannaCry από προηγούμενη εμπειρία, υπήρχαν πολύ λίγα στοιχεία που τα συνδέουν με την ομάδα Lazarus στις πρώτες μέρες της επίθεσης. Με την πάροδο του χρόνου, εμφανίστηκαν περισσότερα στοιχεία και επέτρεψαν σε εμάς και τους άλλους να συνδέσουμε τα δύο. Η περισσότερη έρευνα σχετικά με το θέμα είναι πολύ σημαντική για τη γεφύρωση των χαμένων συνδέσμων. χρησιμοποίησε τις εκφράσεις.
Για προστασία από κακόβουλο λογισμικό όπως το Sunburst, η Kaspersky συνιστά:
“Παρέχετε στην ομάδα SOC σας πρόσβαση στις τελευταίες πληροφορίες απειλής. Η πύλη Kaspersky Threat Intelligence παρέχει δεδομένα επίθεσης στον κυβερνοχώρο και πληροφορίες που συλλέγονται από την Kaspersky για περισσότερα από 20 χρόνια. Μπορείτε να μεταβείτε σε αυτήν τη διεύθυνση για δωρεάν πρόσβαση σε λειτουργίες που επιτρέπουν στους χρήστες να ελέγχουν αρχεία, διευθύνσεις URL και διευθύνσεις IP. Οι οργανισμοί που επιθυμούν να πραγματοποιήσουν τις δικές τους έρευνες μπορούν να επωφεληθούν από την Kaspersky Threat Attribution Engine, η οποία χαρτογραφεί τον εντοπισμένο κακόβουλο κώδικα σε βάσεις δεδομένων κακόβουλου λογισμικού και τις συσχετίζει με εκστρατείες επίθεσης που δεν έχουν αποκαλυφθεί προηγουμένως με βάση τις ομοιότητες κώδικα. “
