«Лаборатория Касперского»: бэкдоры Sunburst и Kazuar очень похожи

Дата: 11.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
«Лаборатория Касперского»: бэкдоры Sunburst и Kazuar очень похожи

Исследователи из российской компании «Лаборатория Касперского» заявили о схожести функционала бэкдора Sunburst, который использовался для атаки на цепочку поставок SolarWinds, с бэкдором Kazuar, который принадлежит киберпреступной группировке Turla (предположительно контролируется правительством РФ).

В компании Kaspersky отмечают, что хакеры, которые атаковали американские государственные учреждения и частные компании в конце декабря 2020 года, действовали за пределами России. Киберпреступники для проведения атаки использовали зараженные трояном обновления для продукта SolarWinds Orion. Это позволило хакерам доставить бэкдор Sunburst около 18 тыс. клиентам компании SolarWinds.

Правительство США уже выпускало официальное заявление о том, что с высокой долей вероятности за атаку отвечает Россия. В частности, обвинялись спонсируемые российским правительством хакерские группировки Cozy Bear и APT29.

Компания FireEye, в свою очередь, заявила о том, что в атаках на американские правительственные организации виновата группировка UNC2452. Компания Volexity обвинила группировку Dark Halo. Поэтому вплоть до 11 января не было найдены доказательств тому, что за атаками стоит APT29 или иные известные хакерские группы.

В понедельник «Лаборатория Касперского» заявила, что обнаружена четкая связь между бэкдорами Sunburst и Kazuar. Вредонос Kazuar известен как минимум с 2015 года, но подробное он был описан специалистами компании Palo Alto только в 2017 году. Еще 4 года назад в Palo Alto заявляли, что бэкдор Kazuar принадлежит российской хакерской группе Turla.

В заявлении «Лаборатории Касперского» говорится следующее: «Некоторые фрагменты кода Sunburst и Kazuar очень схожи. Во многом похожи кодовые блоки, подпрограмма вычисления UID, принципы использования алгоритма хэширования FNV-1a, цикл ожидания, но их нельзя назвать идентичными на 100%. Есть предположение, что при создании Sunburst и Kazuar использовался аналогичный мыслительный процесс. Интересно, что версии бэкдора Kazuar от 2020 года в некоторых отношениях сильно похожи на Sunburst».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *