AnasayfagüvenlikSolarWinds Sunburst arka kapısı: Rus APT grubu kötü amaçlı yazılımıyla ortak bileşenler

SolarWinds Sunburst arka kapısı: Rus APT grubu kötü amaçlı yazılımıyla ortak bileşenler

Güvenlik araştırmacıları Kaspersky bunu buldu Sunburst arka kapı, kötü amaçlı yazılım tedarik zinciri sırasında geliştirildi SolarWinds saldırısı, hediyeler Rus hack grubu Turla ile bağlantılı bir .NET arka kapısı olan Kazuar'ın ortak özellikleri.

SolarWinds Sunburst arka kapısı
SolarWinds Sunburst arka kapısı: Rus APT grubu kötü amaçlı yazılımıyla ortak bileşenler

Turla olarak da bilinen ZARARLI AYI και waterbug, gerçekleştirir casusluk kampanyaları και veri hırsızlığı 1996'dan beri ve birçok uzman için ana şüpheli saldırılar Pentagon'da, NASA, Merkez Komutanlığı Amerika Birleşik Devletleri ve Finlandiya Dışişleri Bakanlığı.

Kazuar, Rus Turla'nın önceki saldırılarında kullanılan araçlardan biridir. Kaspersky araştırmacılarına göre, SolarWinds saldırısının arkasındaki ekip tarafından kullanılan yazılımla pek çok ortak noktası vardır (bu ekip isimlerle izlenir. UNC2452 και Karanlık Halo).

Temsilcisi ABD hükümeti, aynı zamanda FBI, h CISA ve NSA ayrıca saldırganın büyük ihtimalle bir Rus APT ekibi.

SolarWinds Sunburst arka kapısı: Rus APT grubu kötü amaçlı yazılımıyla ortak bileşenler

Kod benzerlikleri

Kazuar arka kapı örnekleri Sunburst ile önemli benzerlikler gösterir.

Ortak özelliklerden biri kurbanlar için UID'ler oluşturmak için kullanılan algoritma (benzersiz kurban kimlikleri), FNV-1a hash'in her ikisinde de yaygın kullanımı kötü amaçlı yazılım ve uyku algoritması Kazuar ve Sunburst arka kapıları tarafından kullanılır.

Kaspersky dikkat çekiyor ayrıca, benzerliklere rağmen, bu örtüşen yetenekleri uygulamak için kullanılan algoritmalar hala% 100 aynı değil. Bu nedenle buna inanıyorlar biraz bağlantı var iki kötü amaçlı yazılım arasında fakat "bu ilişkinin doğası henüz tam olarak net değil".

Çakışmayı ortaya çıkaran kod parçacıkları şunu gösteriyor: "Kazuar ve Sunburst arka kapısını geliştirmek için benzer bir düşünce süreci kullanıldı".

Kaspersky bazılarını verdi olası açıklamalar yukarıdaki benzerlikler için:

  • Sunburst, Kazuar arka kapısını oluşturan aynı ekip tarafından geliştirildi
  • Sunburst geliştiricileri, doğrudan bir bağlantı olmadan (Kazuar'dan esinlenerek) Kazuar'dan bazı fikirleri veya kod parçalarını benimsemiştir.
  • DarkHalo / UNC2452 ve Kazuar (Turla) kullanan ekip, kötü amaçlı yazılımlarını aynı kaynaktan aldı
  • Kazuar'ın geliştiricilerinden bazıları bir başkasının üyesi oldu hack ekibi, geçmişteki fikirleri ve araçları kullanarak ve benzer kötü amaçlı yazılımlar oluşturarak
  • Sunburst arka kapısının geliştiricileri, dikkatlerinin başka bir bilgisayar korsanlığı grubuna bağlanmasını önlemek için bilinen diğer kötü amaçlı yazılımlardan yararlanmayı düşündüler.

Kaspersky araştırmacıları, ikinci açıklamanın çok muhtemel olduğuna dikkat çekti. Sunburst arka kapı geliştiricileri, uzmanları yanlış yönlendirmek için kasıtlı olarak ortak özellikler koymuş ve saldırı SolarWinds Başka Yerde.

"Kazuar ve Sunburst birbirine bağlıyken, bu ilişkinin doğası hala belirsiz", Dedi Kaspersky. "Daha fazla analiz yoluyla, yukarıdaki açıklamalardan bir veya daha fazlasını doğrulamak için kanıtların ortaya çıkması muhtemeldir.".

"Netleştirmek için - Sunburst ve Turla'yı kullanan ekibin DarkHalo / UNC2452'nin mutlaka aynı ekip olduğunu söylemiyoruz".

Ancak, görünüşe göre Sunburst ve Kazuar geliştiricileri muhtemelen her yazılımdaki özellik değişikliklerinin farkındaydı ve bu ikisi arasında bir bağlantı olduğunu gösteriyor.

SolarWinds Sunburst arka kapısı: Rus APT grubu kötü amaçlı yazılımıyla ortak bileşenler

Sunburst arka kapısı, SolarWinds saldırısının bilindiği Aralık ayında ortaya çıktı. Öte yandan, Kazuar, bulunduğu zaman orijinal biçiminden büyük ölçüde değiştirildi. saldırılar Ancak, Kazuar örnekleri nadiren kötü amaçlı yazılım analiz platformlarına gider. VirusTotalbu yüzden meydana gelen değişikliklere ayak uydurmak çok zor.

"Bu bağlantı, SolarWinds'e yapılan saldırının arkasında kimin olduğunu göstermez, ancak bu araştırmada araştırmacılara yardımcı olabilecek daha fazla bilgi sağlar.Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) direktörü Said Costin Raiu.

"Başkalarının önemli olduğuna inanıyoruz araştırmacılar bu benzerlikleri keşfetmek ve daha fazlasını keşfetmeye çalışmak için dünya çapında elementler Kazuar ve Sunburst'un kökenleri hakkında".

Kaynak: Bleeping Computer

Dijital Kalehttps://www.secnews.gr
Hayallerinin peşinden koş ve yaşa!
spot_img

CANLI HABERLER