Spojitosti o malwaru Kazuar a původu backdooru Sunburst
Při zkoumání backdooru, který používá malware Sunburst, objevili analytici společnosti Kaspersky množství znaků shodných s backdoorem Kazuar. Ten byl identifikován již dříve s tím, že používá platformu .NET Framework. Značné podobnosti v kódech obou malwarů naznačují, že je mezi nimi spojitost, ačkoli její povaha zůstává nejasná.
Experti společnosti Kaspersky odhalili, že zatím nevyjasněný útok na prémiovou softwarovou společnost SolarWinds, která dodává řešení pro americké federální organizace a stovky největších globálních společností, má blízko k už známým verzím backdooru Kazuar.
Ten rovněž umožnuje vzdálený přístup do napadeného počítače podobným způsobem. Tyto informace by mohly pomoci při identifikaci útočníků, kteří v prosinci 2020 napadli řadu institucí v USA.
Rozsáhlý sofistikovaný supply chain útok, jenž využíval dříve neznámý malware - Sunburst - k napadení IT zákazníků produktu Orion, odhalily společnosti FireEye, Microsoft a SolarWinds zhruba před měsícem, přesně 13. 12. 2020.
Jako první oznámila jeho objevení společnost Palo Alto v roce 2017 a uvedla, že se používá ke kybernetickým špionážním útokům po celém světě.
Inspirace nebo stejný útočník?
Mezi shodné či podobné rysy malwarů Sunburst a Kazuar patří algoritmus generující identifikaci napadeného uživatele (UID), podobnosti kódů v algoritmu výchozího režimu spánku a hojné využívání hashe FNV1a (jednoduchá hashovací funkce) pro zmatení porovnávání kódů. Fragmenty kódů však nejsou identické.
Podle odborníků se zdá, že Sunburst mohl být vytvořen podle otisků zdrojového kódu malwaru Kazuar z konce roku 2019.
Malware Kazuar se navíc neustále vyvíjel a jeho pozdější verze z roku 2020 jsou dokonce v jistých ohledech ještě více podobné větvi malwaru Sunburst.
Celkově lze říci, že odborníci společnosti Kaspersky během oněch několika let vývoje malwaru Kazuar pozorovali neustálý vývoj, během něhož byly přidávány určité významné funkce, které jsou podobné i u malwaru Sunburst.
I když jsou tyto podobnosti mezi malwary Kazuar a Sunburst zjevné, může existovat mnoho důvodů, proč se tak děje.
Možné důvody:
- Obě skupiny stojící za vývojem Sunburst a Kazuar získaly škodlivé kódy ze stejného zdroje
- Vývojáři malwaru Sunburst použili Kazuar jako výchozí inspiraci
- Vývojář malwaru Kazuar přešel do týmu Sunburstu
- Sunburst vyvíjela stejná skupina jako Kazuar
"Zjištěné spojitosti sice neobjasňují, kdo stál za útokem na společnost SolarWinds, nicméně přinášejí hlubší poznatky, jež můžou výzkumníkům pomoct pokročit s tímto pátráním dále. Jsme přesvědčeni, že je důležité, aby další výzkumníci z celého světa tyto podobnosti zkoumali a pokoušeli se zjistit více faktů o malwaru Kazuar a původu Sunburstu, malwaru použitého při napadení společnosti SolarWinds. Pokud se máme poučit z dřívějších zkušeností a vzpomeneme-li si na virus Wannacry - i když je to dávno, bylo tehdy jen velmi málo skutečností, které by jej spojovaly se skupinou s názvem Lazarus. Postupně se objevilo víc důkazů, které umožnily nám i dalším toto propojení důvěryhodně prokázat. Další výzkum současného problému je tedy nezbytný, aby bylo možné z jednotlivých střípků vytvořit ucelený obraz," říká Costin Raiu, ředitel globálního týmu pro výzkum a analýzu společnosti Kaspersky.
Doporučení Kaspersky pro ochranu před malwarem typu Sunburst:
- Zajistěte, aby váš SOC tým (Security Operations Center) měl k dispozici přístup k nejaktuálnějším informacím o známých hrozbách (threat intelligence, TI). Portál společnosti Kaspersky věnovaný analýze kybernetických hrozeb Kaspersky Threat Intelligence Portal poskytuje firmám potřebné informace o TI, údaje o kybernetických útocích a znalosti, jež společnost Kaspersky získala během více než 20 let své existence. Bezplatný přístup k funkcím, jejichž použití vám usnadní průvodce a které vám umožní zkontrolovat soubory, URL a IP adresy.
- Organizace, které by chtěly provádět vlastní výzkumy, můžou využít znalostní báze, kterou nabízí nástroj Kaspersky Threat Attribution Engine. Porovnává zjištěné škodlivé kódy s údaji v databázích malwarů a na základě podobností kódů je přiřazuje k dříve odhaleným kampaním pokročilých přetrvávajících hrozeb (Advanced Persistent Threats, APT).
Článek KASPERSKY LAB CZECH REPUBLIC ze dne 12. ledna 2021 - úterý
Další články od KASPERSKY LAB CZECH REPUBLIC
Jak zlepšit zaměstnancům podmínky práce na dálku
Bezpečnostní pravidla pro ochranu nemocnic před útoky ransomware
Spojitosti o malwaru Kazuar a původu backdooru Sunburst
Falešná mobilní verze hry Cyberpunk 2077 šíří ransomware
Dekodér pro pomoc obětem backdooru Sunburst
Michal Lukáš - nový Head of Presales pro střední a východní Evropu
Jak minimalizovat riziko krádeže osobních dat
Finanční kriminalita na internetu v roce 2021
Jaká bude bezpečnost v kyberprostoru roku 2021?
Web skimming - nová technika hackerů zneužívá Google Analytics
B2B řešení ochrany koncových zařízení pro zdravotnické organizace zdarma
Proč je dobré řešit bezpečnostní pravidla ochrany dat v dodavatelském řetězci
Antidrone ochrání vaše soukromí před dotěrnými civilními drony
Sdílené úložiště OneDrive s ochranou Kaspersky Security for Microsoft Office 365
Jak na základní uživatelské úkony v IT oblasti
Jak řeší starší ročníky uživatelů problémy v IT
Ochrana pro dvě mobilní zařízení zdarma ke každé licenci Kaspersky Endpoint Security Cloud
Miroslav Kořen řídí aktivity Kaspersky Lab ve východní Evropě
