El 13 de diciembre de 2020, FireEye, Microsoft y SolarWinds lanzaron un gran y sofisticado ataque de piratas informáticos en la cadena de suministro que implementó el malware desconocido que Sunburst utilizó contra los clientes de TI de SolarWinds en Orion.
Los expertos de Kaspersky ahora han encontrado similitudes específicas en el código entre Sunburst y las versiones conocidas de las puertas traseras de Kazuar. Esta información puede ayudar a descubrir más conocimientos sobre el ataque.
Los expertos de Kaspersky han examinado la puerta trasera Sunburst y han descubierto una serie de características que se superponen con las puertas traseras Kazuar previamente identificadas (el tipo de malware que proporciona acceso remoto a la máquina de la víctima). Las puertas traseras se codificaron utilizando el marco .NET, que primero se convirtió reportado por Palo Alto en 2017 y que desde entonces se ha utilizado en ataques de ciberespionaje en todo el mundo. Kaspersky ha descubierto una serie de similitudes en el código, lo que sugiere una conexión entre Kazuar y Sunburst.
Las características superpuestas entre Sunburst y Kazuar incluyen: el algoritmo de generación de UUID de la víctima (un identificador único universal es un número de 128 bits que se utiliza para identificar de forma única un dispositivo específico en la web. El algoritmo genera automáticamente el número. A través de un UUID puede direccionar un dispositivo específico, de modo que se pueda acceder a él e interactuar con él), el algoritmo inactivo y un uso integral del hash FNV-1a (Hash es un número único generado a partir de un algoritmo. El número se usa con mayor frecuencia para controlar el contenido, donde dos archivos pueden tener el mismo contenido, pero tener dos nombres de archivo diferentes). Según Kaspersky, estos fragmentos de código no son 100% idénticos, pero parece que Kazuar y Sunburst pueden estar relacionados.
Después de que el malware Sunburst se implementó por primera vez en febrero de 2020, Kazuar continuó evolucionando y las variantes posteriores en 2020 tienen varias similitudes con Sunburst.
Los expertos de Kaspersky han estado siguiendo el desarrollo de Kazuar durante los últimos años, con el código de la puerta trasera evolucionando para hacerlo cada vez más similar a Sunburst. Las similitudes entre Kazuar y Sunburst son notables y pueden significar varias cosas; Ese Sunburst fue desarrollado por el mismo grupo que Kazuar, que los desarrolladores de Sunburst usan Kazuar como inspiración para su propio código, que un desarrollador de Kazuar se ha trasladado al equipo de Sunburst o que los equipos de Sunburst y Kazuar han recibido su malware de la misma fuente.
“La conexión que hemos identificado no revela quién está detrás del ataque SolarWinds, pero proporciona más información sobre el malware para que los investigadores de seguridad de TI puedan seguir adelante con su investigación del ataque. Creemos que es importante que los investigadores de seguridad de TI del resto del mundo también investigan a Kazuar para que juntos podamos rastrear los orígenes de Sunburst, el malware utilizado en el ataque SolarWinds. A juzgar por experiencias anteriores, por ejemplo, en el ataque WannaCry, inicialmente había poco que los conectara con el grupo Lazarus. Con el tiempo , surgieron más y más pruebas que nos llevaron a nosotros y a otros investigadores de seguridad de TI a concluir que había una conexión entre los dos. Por lo tanto, es fundamental realizar más investigaciones para saber si podemos encontrar al grupo ”, dice Costin Raiu, director de análisis e investigación global de Kaspersky. unidad GReAT.
Lea más sobre los detalles técnicos de la similitud entre Sunburst y Kazaur en el informe de Kaspersky en Securelist. También puede leer más sobre la investigación de Kaspersky sobre Sunburst su y vea cómo Kaspersky protege a sus clientes de la puerta trasera Sunburst su.
Para evitar infectarse con malware como las puertas traseras Sunburst, Kaspersky recomienda:
- Proporcione a su departamento de TI acceso a la información sobre amenazas (TI) más reciente. Portal de inteligencia de amenazas de Kaspersky proporciona acceso a la TI de la empresa y proporciona datos e información sobre los ciberataques recopilados por Kaspersky durante más de 20 años. Se dispone de acceso gratuito a funciones que permiten a los usuarios comprobar archivos, URL y direcciones IP su.
- Organizaciones que desean realizar su propia investigación se benefician Motor de atribución de amenazas de Kaspersky. Ejecuta código malicioso a través de bases de datos de malware y compara el código con campañas APT ya reveladas.
Source: IT-Kanalen by it-kanalen.dk.
*The article has been translated based on the content of IT-Kanalen by it-kanalen.dk. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
