logo KASPERSKY LAB CZECH REPUBLIC

Spojitosti o malwaru Kazuar a původu backdooru Sunburst

Při zkoumání backdooru, který používá malware Sunburst, objevili analytici společnosti Kaspersky množství znaků shodných s backdoorem Kazuar. Ten byl identifikován již dříve s tím, že používá platformu .NET Framework. Značné podobnosti v kódech obou malwarů naznačují, že je mezi nimi spojitost, ačkoli její povaha zůstává nejasná.

Experti společnosti Kaspersky odhalili, že zatím nevyjasněný útok na prémiovou softwarovou společnost SolarWinds, která dodává řešení pro americké federální organizace a stovky největších globálních společností, má blízko k už známým verzím backdooru Kazuar.

Ten rovněž umožnuje vzdálený přístup do napadeného počítače podobným způsobem. Tyto informace by mohly pomoci při identifikaci útočníků, kteří v prosinci 2020 napadli řadu institucí v USA.

Rozsáhlý sofistikovaný supply chain útok, jenž využíval dříve neznámý malware - Sunburst - k napadení IT zákazníků produktu Orion, odhalily společnosti FireEye, Microsoft a SolarWinds zhruba před měsícem, přesně 13. 12. 2020.

Jako první oznámila jeho objevení společnost Palo Alto v roce 2017 a uvedla, že se používá ke kybernetickým špionážním útokům po celém světě.

Inspirace nebo stejný útočník?

Mezi shodné či podobné rysy malwarů Sunburst a Kazuar patří algoritmus generující identifikaci napadeného uživatele (UID), podobnosti kódů v algoritmu výchozího režimu spánku a hojné využívání hashe FNV1a (jednoduchá hashovací funkce) pro zmatení porovnávání kódů. Fragmenty kódů však nejsou identické.

Podle odborníků se zdá, že Sunburst mohl být vytvořen podle otisků zdrojového kódu malwaru Kazuar z konce roku 2019.

Malware Kazuar se navíc neustále vyvíjel a jeho pozdější verze z roku 2020 jsou dokonce v jistých ohledech ještě více podobné větvi malwaru Sunburst.

Celkově lze říci, že odborníci společnosti Kaspersky během oněch několika let vývoje malwaru Kazuar pozorovali neustálý vývoj, během něhož byly přidávány určité významné funkce, které jsou podobné i u malwaru Sunburst.

I když jsou tyto podobnosti mezi malwary Kazuar a Sunburst zjevné, může existovat mnoho důvodů, proč se tak děje.

Možné důvody:

"Zjištěné spojitosti sice neobjasňují, kdo stál za útokem na společnost SolarWinds, nicméně přinášejí hlubší poznatky, jež můžou výzkumníkům pomoct pokročit s tímto pátráním dále. Jsme přesvědčeni, že je důležité, aby další výzkumníci z celého světa tyto podobnosti zkoumali a pokoušeli se zjistit více faktů o malwaru Kazuar a původu Sunburstu, malwaru použitého při napadení společnosti SolarWinds. Pokud se máme poučit z dřívějších zkušeností a vzpomeneme-li si na virus Wannacry - i když je to dávno, bylo tehdy jen velmi málo skutečností, které by jej spojovaly se skupinou s názvem Lazarus. Postupně se objevilo víc důkazů, které umožnily nám i dalším toto propojení důvěryhodně prokázat. Další výzkum současného problému je tedy nezbytný, aby bylo možné z jednotlivých střípků vytvořit ucelený obraz," říká Costin Raiu, ředitel globálního týmu pro výzkum a analýzu společnosti Kaspersky.

Doporučení Kaspersky pro ochranu před malwarem typu Sunburst:

Článek KASPERSKY LAB CZECH REPUBLIC ze dne 12. ledna 2021 - úterý

Další články od KASPERSKY LAB CZECH REPUBLIC

Ransomware REvil útočí na zařízení Apple

Zero-day zranitelnost u Desktop Windows Managera

Kaspersky Endpoint Security Cloud s funkcemi EDR

Ochrana dat a osobních údajů je pro uživatele klíčová

Bankovní malware v roce 2020

Počet uživatelů ochotných zaplatit výkupné za obnovu dat roste

Únik osobních dat z účtů na Facebooku

Jak předcházet doxing útokům na firmu

Jak bezpečně používat webovou kameru

Roste počet útoků na protokoly pro vzdálený přístup

Kyborgové v Evropě - chceme to?

Váš Google Chrome naléhavě vyžaduje aktualizaci

Jak chránit Microsoft Exchange Server před zero-day útoky

Ransomware Quoter ohrožuje na dopravní firmy a finanční instituce

Kybernetické útoky na Magistrát hl. m. Prahy a MPSV

Pozor na vakcíny proti COVID-19 z Darknetu

Vývoj stalkerwaru v pandemickém roce 2020

Skupina Lazarus se nově soustředí na obranný průmysl

Jak na řízení týmů zaměřených na kyberbezpečnost

Pozor na falešné aplikace v souvislosti s Clubhouse

Těžba kryptoměn stojí za poklesem DDoS útoků

Projekt DeStalk vyhlašuje boj stalkerwaru

Jen mazat data z vyřazovaných zařízení nestačí

Zachránce a investor - dva hlavní modely napadení bankovního účtu

Počet útoků na výukové platformy pro distanční online vzdělávání roste

Osobní data a jejich ochrana v roce 2021

Outsourcing IT systémů a prostředků kybernetického zabezpečení

Virtuální platformy pomáhají lidem na cestě z osamění

Jak zlepšit zaměstnancům podmínky práce na dálku

Bezpečnostní pravidla pro ochranu nemocnic před útoky ransomware

Spojitosti o malwaru Kazuar a původu backdooru Sunburst

Falešná mobilní verze hry Cyberpunk 2077 šíří ransomware

Dekodér pro pomoc obětem backdooru Sunburst

Michal Lukáš - nový Head of Presales pro střední a východní Evropu

Jak minimalizovat riziko krádeže osobních dat

Finanční kriminalita na internetu v roce 2021

Jaká bude bezpečnost v kyberprostoru roku 2021?

Web skimming - nová technika hackerů zneužívá Google Analytics

B2B řešení ochrany koncových zařízení pro zdravotnické organizace zdarma

Proč je dobré řešit bezpečnostní pravidla ochrany dat v dodavatelském řetězci

Antidrone ochrání vaše soukromí před dotěrnými civilními drony

Sdílené úložiště OneDrive s ochranou Kaspersky Security for Microsoft Office 365

Jak na základní uživatelské úkony v IT oblasti

Jak řeší starší ročníky uživatelů problémy v IT

Ochrana pro dvě mobilní zařízení zdarma ke každé licenci Kaspersky Endpoint Security Cloud

Miroslav Kořen řídí aktivity Kaspersky Lab ve východní Evropě