Ερευνητές ασφαλείας της Kaspersky διαπίστωσαν ότι το Sunburst backdoor, το malware που αναπτύχθηκε κατά τη διάρκεια της supply-chain επίθεσης στη SolarWinds, παρουσιάζει κοινά χαρακτηριστικά με το Kazuar, ένα .NET backdoor, που έχει συνδεθεί με τη ρωσική hacking ομάδα Turla.
Η Turla, η οποία είναι, επίσης, γνωστή και ως VENOMOUS BEAR και Waterbug, πραγματοποιεί εκστρατείες κατασκοπείας και κλοπές δεδομένων ήδη από το 1996 και για πολλούς ειδικούς, είναι ο βασικός ύποπτος για τις επιθέσεις σε Πεντάγωνο, NASA, Κεντρική Διοίκηση των ΗΠΑ και το φινλανδικό Υπουργείο Εξωτερικών.
Το Kazuar είναι ένα από τα εργαλεία που χρησιμοποιήθηκαν κατά τη διάρκεια προηγούμενων επιθέσεων της ρωσικής Turla. Σύμφωνα με τους ερευνητές της Kaspersky, έχει πολλά κοινά χαρακτηριστικά με το λογισμικό που χρησιμοποίησε η ομάδα πίσω από την επίθεση στη SolarWinds (αυτή η ομάδα παρακολουθείται με το ονόματα UNC2452 και DarkHalo).
Εκπρόσωπος της αμερικανικής κυβέρνησης αλλά και το FBI, η CISA και η NSA έχουν, επίσης, δηλώσει ότι ο φορέας της επίθεσης είναι πιθανότατα μια ρωσική APT ομάδα.
Ομοιότητες κώδικα
Δείγματα του Kazuar backdoor δείχνουν σημαντικές ομοιότητες με το Sunburst.
Ένα από τα κοινά χαρακτηριστικά είναι ο αλγόριθμος που χρησιμοποιείται για τη δημιουργία UIDs για τα θύματα (μοναδικά αναγνωριστικά θυμάτων), η εκτεταμένη χρήση του FNV-1a hash στα δύο malware και ο sleeping αλγόριθμος που χρησιμοποιούν τα Kazuar και Sunburst backdoors.
Η Kaspersky επισημαίνει επίσης ότι, παρά τις ομοιότητες, οι αλγόριθμοι που χρησιμοποιούνται για την εφαρμογή αυτών των αλληλεπικαλυπτόμενων δυνατοτήτων εξακολουθούν να μην είναι 100% πανομοιότυποι. Επομένως, πιστεύουν ότι υπάρχει κάποια σχέση μεταξύ των δύο malware αλλά “η φύση αυτής της σχέσης δεν είναι ακόμη απολύτως σαφής“.
Τα τμήματα κώδικα που αποκαλύπτουν την αλληλεπικάλυψη δείχνουν ότι “ένα είδος παρόμοιας διαδικασίας σκέψης χρησιμοποιήθηκε για την ανάπτυξη του Kazuar και του Sunburst backdoor“.
Η Kaspersky έχει δώσει μερικές πιθανές εξηγήσεις για τις παραπάνω ομοιότητες:
- Το Sunburst αναπτύχθηκε από την ίδια ομάδα που δημιούργησε και το Kazuar backdoor
- Οι προγραμματιστές του Sunburst υιοθέτησαν κάποιες ιδέες ή τμήματα κώδικα από το Kazuar, χωρίς να έχουν άμεση σύνδεση (εμπνεύστηκαν από το Kazuar)
- Και οι δύο ομάδες, η DarkHalo / UNC2452 και η ομάδα που χρησιμοποιεί το Kazuar (Turla), απέκτησαν το κακόβουλο λογισμικό τους από την ίδια πηγή
- Μερικοί από τους προγραμματιστές του Kazuar έγιναν μέλη μιας άλλης hacking ομάδας, χρησιμοποιώντας ιδέες και εργαλεία από την προηγούμενη και δημιουργώντας παρόμοιο κακόβουλο λογισμικό
- Οι προγραμματιστές του Sunburst backdoor σκέφτηκαν να αξιοποιήσουν στοιχεία άλλου γνωστού malware για να μην τραβήξουν την προσοχή πάνω τους και να συνδεθούν οι επιθέσεις με άλλη hacking ομάδα.
Οι ερευνητές της Kaspersky επεσήμαναν ότι η τελευταία εξήγηση είναι πολύ πιθανή. Οι προγραμματιστές του Sunburst backdoor μπορεί να έβαλαν επίτηδες τα κοινά χαρακτηριστικά για να παραπλανήσουν τους ειδικούς και να αποδοθούν ευθύνες για την επίθεση στη SolarWinds αλλού.
“Ενώ τα Kazuar και Sunburst συνδέονται, η φύση αυτής της σχέσης δεν είναι ακόμα σαφής“, είπε η Kaspersky. “Μέσω περαιτέρω ανάλυσης, είναι πιθανό να προκύψουν στοιχεία που να επιβεβαιώσουν μια ή περισσότερες από τις παραπάνω εξηγήσεις“.
“Για να ξεκαθαρίσουμε – ΔΕΝ λέμε ότι η DarkHalo / UNC2452, η ομάδα που χρησιμοποιεί το Sunburst και η Turla είναι απαραίτητα η ίδια ομάδα“.
Ωστόσο, φαίνεται πως οι προγραμματιστές των Sunburst και Kazuar πιθανώς γνώριζαν τις αλλαγές χαρακτηριστικών σε κάθε λογισμικό, κάτι που δείχνει μια σύνδεση μεταξύ των δύο.
Το Sunburst backdoor εμφανίστηκε το Δεκέμβριο, όταν έγινε γνωστή η επίθεση SolarWinds. Από την άλλη, το Kazuar έχει τροποποιηθεί σε μεγάλο βαθμό από την αρχική του μορφή, όταν εντοπίστηκε σε επιθέσεις το 2017. Τα δείγματα του Kazuar, όμως, ανεβαίνουν πολύ σπάνια σε πλατφόρμες ανάλυσης κακόβουλου λογισμικού, όπως το VirusTotal, γι’ αυτό και είναι πολύ δύσκολο να παρακολουθήσει κανείς τις αλλαγές που γίνονται.
“Η σύνδεση αυτή δεν δείχνει ποιος ήταν πίσω από την επίθεση στη SolarWinds, ωστόσο, παρέχει περισσότερες πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν σε αυτήν την έρευνα“, δήλωσε ο Costin Raiu, διευθυντής της Kaspersky Global Research and Analysis Team (GReAT).
“Πιστεύουμε ότι είναι σημαντικό άλλοι ερευνητές σε όλο τον κόσμο να διερευνήσουν αυτές τις ομοιότητες και να προσπαθήσουν να ανακαλύψουν περισσότερα στοιχεία σχετικά με το Kazuar και την προέλευση του Sunburst“.
Πηγή: Bleeping Computer