Cel mai recent raport Kaspersky subliniază legătura dintre malware-ul Suburst, folosit în recentele atacuri informatice din SUA și Kazuar, un set malware utilizat pentru spionaj de serviciile secrete ruse.

Kaspersky nu spune că originea atacului este clar în Rusia, pentru că sunt necesare mai multe investigații. Ei doar atrag atenția că seamănă codul sursă și sunt folosite metode similare de programare, exact ca în cazul dovedit a fi orchestrat de FSB (urmașul KGB).

Să nu uităm că de foarte multe ori Kaspersky a fost acuzat pe nedrept că lucrează pentru serviciile secrete ruse. Din punctul meu de vedere, n-ar fi dat niciodată acest raport dacă găseau o astfel de legătură și ar fi fost sub comanda FSB. Ar fi ca și cum divizia de securitate a Huawei ar da un raport că guvernul chinez a spionat prin intermediul dispozitivelor Huawei. Nu chiar așa, dar pe-aproape. Chestii de genul ăsta nu se fac.

Scurt istoric al atacurilor din SUA

Pe 13 decembrie 2020, FireEye, Microsoft și SolarWinds au anunțat descoperirea unui atac cibernetic sofisticat, asupra lanțului de aprovizionare, care a scos la iveală un nou malware, „Sunburst”, necunoscut anterior, folosit împotriva clienților IT ai SolarWinds care utilizau Orion IT.

Hackeri ruși au folosit o actualizare de software pentru a intra în rețele ale instituțiilor federale americane importante, precum Trezoreria și departamentul de Comerț al SUA, timp de mai multe luni. Compania americană de IT SolarWinds, care furnizează servicii digitale unor instituții și agenții federale din SUA, a declarat că un număr de până la 18.000 de clienți au descărcat o actualizare de software compromisă care a permis unor hackeri ruși să spioneze companii și activități guvernamentale fără a fi detectați timp de aproape 9 luni.

Atacul nu a afectat doar Trezoreria SUA și instituțiile de stat. Și Microsoft a fost afectată de acest incident, iar compania a atras atenția că și un al doilea grup de hackeri a profitat de datele de acces la platformele infectate.

Deși este cel mai complex și mai sofisticat atac asupra instituțiilor SUA (au obținut acces la sistemele de control pentru rachetele nucleare și alte chestii), Trump a intrat pe fir și a minimalizat importanța incidentului. El a încercat chiar să arate spre China, care probabil a avut doar o implicare secundară sau deloc.

Ce-au descoperit cercetătorii Kaspersky

În timp ce studiau backdoor-ul Sunburst, experții Kaspersky au descoperit o serie de caracteristici similare cu cele ale unui Kazuar identificat anterior, un backdoor scris folosind rețeaua .NET, raportat pentru prima dată de Palo Alto în 2017 și utilizat în atacurile cibernetice de spionaj din întreaga lume. Multiple similitudini la nivel de cod sugerează o legătură între Kazuar și Sunburst, deși natura acesteia este, încă, nedeterminată.
Similitudinile dintre Sunburst și Kazuar includ algoritmul de generare UID al victimei, algoritmul de inactivitate (sleeping algorithm) și utilizarea extinsă a hash-ului FNV-1a. Potrivit experților, aceste fragmente de cod nu sunt 100% identice, sugerând că între Kazuar și Sunburst poate exista o legătură, dar natura acestei relații nu este încă clară.

După ce malware-ul Sunburst a fost lansat pentru prima dată, în februarie 2020, Kazuar a continuat să evolueze, iar variantele din 2020 sunt și mai asemănătoare, în anumite privințe, cu Sunburst.

Per ansamblu, în cei câțiva ani de la identificarea Kazuar, experții au observat o evoluție continuă, și adăugarea de noi caracteristici semnificative, care seamănă cu Sunburst. Deși aceste asemănări între Kazuar și Sunburst sunt relevante, ar putea exista o mulțime de motive pentru existența lor, inclusiv faptul că Sunburst este dezvoltat de același grup care dezvoltă și Kazuar, atacatorii din spatele Sunburst folosind Kazuar ca punct de inspirație. Un alt motiv poate fi reprezentat de mutarea unuia dintre dezvoltatorii Kazuar în echipa Sunburst sau faptul că ambele grupuri din spatele Sunburst și Kazuar au obținut malware-ul din aceeași sursă.

Legătura identificată nu scoate la iveală cine a fost în spatele atacului SolarWinds, însă oferă mai multe informații care pot ajuta cercetătorii să avanseze în această investigație. Considerăm că este important ca și alți cercetători din întreaga lume să investigheze aceste asemănări și să încerce să descopere mai multe informații despre Kazuar și originea Sunburst, malware-ul folosit în breșa SolarWinds. Cercetările suplimentare pe această temă sunt cruciale pentru a pune cap la cap informațiile“, a spus Costin Raiu, directorul echipei globale de cercetare și analiză GREAT a Kaspersky.