Οι ειδικοί συνδέουν την επίθεση στη SolarWinds με το Kazuar backdoor

- Advertisement -

Στις 13 Δεκεμβρίου 2020, η FireEye, η Microsoft και η SolarWinds  ανακοίνωσαν  την ανακάλυψη μιας μεγάλης, εξελιγμένης επίθεσης αλυσίδας εφοδιασμού που ανέπτυξε το νέο, προηγουμένως άγνωστο κακόβουλο λογισμικό “Sunburst” που χρησιμοποιήθηκε εναντίον των πελατών της SolarWinds Orion IT.

Οι ειδικοί της Kaspersky εντόπισαν διάφορες συγκεκριμένες ομοιότητες κώδικα μεταξύ του Sunburst και γνωστών εκδόσεων των Kazuar backdoors – τον τύπο του κακόβουλου λογισμικού που παρέχει απομακρυσμένη πρόσβαση στη μηχανή του θύματος. Τα νέα ευρήματα παρέχουν πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν στη διερεύνηση της επίθεσης.

Ενώ ερευνούσαν το Sunburst backdoor, οι ειδικοί της Kaspersky ανακάλυψαν μια σειρά χαρακτηριστικών που αλληλεπικαλύπτονται με το Kazuar που είχε προηγουμένως προσδιοριστεί, ένα backdoor που γράφτηκε χρησιμοποιώντας το πλαίσιο .NET που αναφέρθηκε για πρώτη φορά από το Palo Alto το 2017 και χρησιμοποιήθηκε σε ψηφιακές επιθέσεις σε όλο τον κόσμο. Πολλές ομοιότητες στον κώδικα υποδηλώνουν μια σύνδεση μεταξύ Kazuar και Sunburst, αν και απροσδιόριστης φύσης.

Τα αλληλεπικαλυπτόμενα χαρακτηριστικά

Τα αλληλεπικαλυπτόμενα χαρακτηριστικά μεταξύ Sunburst και Kazuar περιλαμβάνουν τον αλγόριθμο παραγωγής UID θύματος, τον αλγόριθμο αδράνειας και την εκτεταμένη χρήση του FNV-1a hash. Σύμφωνα με τους ειδικούς, αυτά τα τμήματα κώδικα δεν είναι 100% πανομοιότυπα, γεγονός που υποδηλώνει ότι τα Kazuar και Sunburst μπορεί να σχετίζονται, αν και η φύση αυτής της σχέσης δεν είναι ακόμη απολύτως σαφής.

Μετά την πρώτη ανάπτυξη του κακόβουλου λογισμικού Sunburst, τον Φεβρουάριο του 2020, το Kazuar συνέχισε να εξελίσσεται και αργότερα οι παραλλαγές του 2020 είναι ακόμη πιο παρόμοιες με το Sunburst.

Συνολικά, κατά τη διάρκεια των ετών εξέλιξης του Kazuar, οι ειδικοί παρατήρησαν μια συνεχή εξέλιξη, στην οποία προστέθηκαν σημαντικά χαρακτηριστικά που μοιάζουν με το Sunburst.

Ενώ αυτές οι ομοιότητες μεταξύ Kazuar και Sunburst είναι αξιοσημείωτες, θα μπορούσαν να υπάρχουν πολλοί λόγοι για την ύπαρξή τους, μεταξύ των οποίων το Sunburst να αναπτύχθηκε από την ίδια ομάδα με το Kazuar, οι προγραμματιστές του Sunburst να χρησιμοποιούν το Kazuar ως σημείο έμπνευσης, η μετακίνηση ενός από τους προγραμματιστές της Kazuar στην ομάδα Sunburst, ή και οι δύο ομάδες πίσω από τα Sunburst και Kazuar να έχουν αποκτήσει το κακόβουλο λογισμικό τους από την ίδια πηγή.

Η αναγνωρισμένη σύνδεση

«Η αναγνωρισμένη σύνδεση δεν μαρτυρά ποιος ήταν πίσω από την επίθεση στη SolarWinds, ωστόσο, παρέχει περισσότερες πληροφορίες που μπορούν να βοηθήσουν τους ερευνητές να προχωρήσουν σε αυτήν την έρευνα. Πιστεύουμε ότι είναι σημαντικό οι άλλοι ερευνητές σε όλο τον κόσμο να διερευνήσουν αυτές τις ομοιότητες και να προσπαθήσουν να ανακαλύψουν περισσότερα στοιχεία σχετικά με το Kazuar και την προέλευση του Sunburst, το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην παραβίαση της SolarWinds.

Κρίνοντας από την εμπειρία του παρελθόντος, για παράδειγμα, κοιτάζοντας πίσω την επίθεση WannaCry, τις πρώτες μέρες, υπήρχαν πολύ λίγα γεγονότα που τη συνέδεαν με την ομάδα Lazarus. Με την πάροδο του χρόνου, εμφανίστηκαν περισσότερα στοιχεία και μας επέτρεψαν, και άλλοι, να τα συνδέσουμε με μεγάλη εμπιστοσύνη. Η περαιτέρω έρευνα σχετικά με αυτό το θέμα είναι ζωτικής σημασίας για τη σύνδεση των κουκκίδων», σχολιάζει ο Costin Raiu, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky.

Για να αποφευχθούν κίνδυνοι μόλυνσης από κακόβουλο λογισμικό, όπως το Sunburst backdoor, η Kaspersky συνιστά:

  • Παρέχετε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη πληροφορία για απειλές (TI). Το Kaspersky Threat Intelligence Portal παρέχει πρόσβαση στο TI της εταιρείας, παρέχοντας δεδομένα και πληροφορίες για ψηφιακές επιθέσεις που συγκεντρώθηκαν από την Kaspersky για περισσότερα από 20 χρόνια. Εδώ διατίθεται δωρεάν πρόσβαση στις επιμελημένες δυνατότητές  του που επιτρέπουν στους χρήστες να ελέγχουν αρχεία, διευθύνσεις URL και διευθύνσεις IP.
  • Οι οργανισμοί που θα ήθελαν να πραγματοποιήσουν τις δικές τους έρευνες θα επωφεληθούν από το Kaspersky Threat Attribution Engine. Ταιριάζει τον εντοπισμένο κακόβουλο κώδικα με βάσεις δεδομένων κακόβουλου λογισμικού και, με βάση τις ομοιότητες του κώδικα, τον αποδίδει σε εκστρατείες APT που είχαν αποκαλυφθεί κατά το παρελθόν.

ΔΗΜΟΦΙΛΗ ΘΕΜΑΤΑ

Cosmote: Δωρεάν απεριόριστα data και φέτος το τριήμερο του Αγ. Πνεύματος

Δωρεάν απεριόριστα data και αυτό το τριήμερο του Αγίου...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις...

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Η ελληνική παρουσία πίσω από τη νέα γενιά AI: Οι δύο founders που «τρέχουν»...

Η παγκόσμια κούρσα της τεχνητής νοημοσύνης μετριέται πλέον σε...

«Hellas Space 2.0»: Το νέο εθνικό διαστημικό πρόγραμμα των 350 εκατ. ευρώ για το...

Greece In Orbit – Η Ελλάδα σε Τροχιά Το πρώτο...

Απλά Ψηφιακά 214: Οι AI agents της Voicelogica (Απ. Ιωακείμ), η Kiefer και το...

Για τον ρόλο που διαδραματίζει η Voicelogica στον ψηφιακό...

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Πάνω από 92.000 κυβερνοεπιθέσεις μέσω ψεύτικων AI εφαρμογών

Η παγκόσμια έκρηξη της Τεχνητής Νοημοσύνης δεν αλλάζει μόνο...

Το 93% των επενδύσεων σε υποδομές – Μόλις το 7% στην ανάπτυξη εργαζομένων

Με την τεχνητή νοημοσύνη να αλλάζει με καταιγιστικούς ρυθμούς...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις στο διάστημα

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Physical AI: 400.000 εγκαταστάσεις έως το 2030 σε βιομηχανία και logistics

Σε φάση εκρηκτικής ανάπτυξης εισέρχεται η αγορά της Φυσικής...

Γνωστική AI: Η νέα μάχη για τη νοητική ιδιωτικότητα – Οι τέσσερις απειλές

Μια νέα γενιά κινδύνων για την ιδιωτικότητα, την ανθρώπινη...