Spojitosti o malwaru Kazuar a původu backdooru Sunburst

Při zkoumání backdooru, který používá malware Sunburst, objevili analytici společnosti Kaspersky množství znaků shodných s backdoorem Kazuar. Ten byl identifikován již dříve s tím, že používá platformu .NET Framework. Značné podobnosti v kódech obou malwarů naznačují, že je mezi nimi spojitost, ačkoli její povaha zůstává nejasná.

Experti společnosti Kaspersky odhalili, že zatím nevyjasněný útok na prémiovou softwarovou společnost SolarWinds, která dodává řešení pro americké federální organizace a stovky největších globálních společností, má blízko k už známým verzím backdooru Kazuar.

Ten rovněž umožnuje vzdálený přístup do napadeného počítače podobným způsobem. Tyto informace by mohly pomoci při identifikaci útočníků, kteří v prosinci 2020 napadli řadu institucí v USA.

Rozsáhlý sofistikovaný supply chain útok, jenž využíval dříve neznámý malware - Sunburst - k napadení IT zákazníků produktu Orion, odhalily společnosti FireEye, Microsoft a SolarWinds zhruba před měsícem, přesně 13. 12. 2020.

Jako první oznámila jeho objevení společnost Palo Alto v roce 2017 a uvedla, že se používá ke kybernetickým špionážním útokům po celém světě.

Inspirace nebo stejný útočník?

Mezi shodné či podobné rysy malwarů Sunburst a Kazuar patří algoritmus generující identifikaci napadeného uživatele (UID), podobnosti kódů v algoritmu výchozího režimu spánku a hojné využívání hashe FNV1a (jednoduchá hashovací funkce) pro zmatení porovnávání kódů. Fragmenty kódů však nejsou identické.

Podle odborníků se zdá, že Sunburst mohl být vytvořen podle otisků zdrojového kódu malwaru Kazuar z konce roku 2019.

Malware Kazuar se navíc neustále vyvíjel a jeho pozdější verze z roku 2020 jsou dokonce v jistých ohledech ještě více podobné větvi malwaru Sunburst.

Celkově lze říci, že odborníci společnosti Kaspersky během oněch několika let vývoje malwaru Kazuar pozorovali neustálý vývoj, během něhož byly přidávány určité významné funkce, které jsou podobné i u malwaru Sunburst.

I když jsou tyto podobnosti mezi malwary Kazuar a Sunburst zjevné, může existovat mnoho důvodů, proč se tak děje.

Možné důvody:

Obě skupiny stojící za vývojem Sunburst a Kazuar získaly škodlivé kódy ze stejného zdroje
Vývojáři malwaru Sunburst použili Kazuar jako výchozí inspiraci
Vývojář malwaru Kazuar přešel do týmu Sunburstu
Sunburst vyvíjela stejná skupina jako Kazuar

"Zjištěné spojitosti sice neobjasňují, kdo stál za útokem na společnost SolarWinds, nicméně přinášejí hlubší poznatky, jež můžou výzkumníkům pomoct pokročit s tímto pátráním dále. Jsme přesvědčeni, že je důležité, aby další výzkumníci z celého světa tyto podobnosti zkoumali a pokoušeli se zjistit více faktů o malwaru Kazuar a původu Sunburstu, malwaru použitého při napadení společnosti SolarWinds. Pokud se máme poučit z dřívějších zkušeností a vzpomeneme-li si na virus Wannacry - i když je to dávno, bylo tehdy jen velmi málo skutečností, které by jej spojovaly se skupinou s názvem Lazarus. Postupně se objevilo víc důkazů, které umožnily nám i dalším toto propojení důvěryhodně prokázat. Další výzkum současného problému je tedy nezbytný, aby bylo možné z jednotlivých střípků vytvořit ucelený obraz," říká Costin Raiu, ředitel globálního týmu pro výzkum a analýzu společnosti Kaspersky.

Doporučení Kaspersky pro ochranu před malwarem typu Sunburst:

Zajistěte, aby váš SOC tým (Security Operations Center) měl k dispozici přístup k nejaktuálnějším informacím o známých hrozbách (threat intelligence, TI). Portál společnosti Kaspersky věnovaný analýze kybernetických hrozeb Kaspersky Threat Intelligence Portal poskytuje firmám potřebné informace o TI, údaje o kybernetických útocích a znalosti, jež společnost Kaspersky získala během více než 20 let své existence. Bezplatný přístup k funkcím, jejichž použití vám usnadní průvodce a které vám umožní zkontrolovat soubory, URL a IP adresy.

Organizace, které by chtěly provádět vlastní výzkumy, můžou využít znalostní báze, kterou nabízí nástroj Kaspersky Threat Attribution Engine. Porovnává zjištěné škodlivé kódy s údaji v databázích malwarů a na základě podobností kódů je přiřazuje k dříve odhaleným kampaním pokročilých přetrvávajících hrozeb (Advanced Persistent Threats, APT).