Si bien Estados Unidos ya ha acusado a Rusia de estar detrás del ataque SolarWinds, también conocido como “Sunburst”, hasta ahora no había pruebas realmente sólidas. Los investigadores (¡rusos!) De Kaspersky ahora han revelado una serie de pistas técnicas que apuntan al Kremlin.
Por tanto, existen similitudes entre el código de puerta trasera de Sunburst y Kazuar, un puerta trasera descubierto por expertos de Palo Alto en 2017 y que formaría parte del arsenal del grupo de hackers ruso Turla, también conocido como Snake o Uroburos.
De hecho, los dos malware utilizan los mismos algoritmos para generar un identificador de víctima y calcular el tiempo entre dos conexiones con los servidores de C&C. Ambos también utilizan una versión modificada del algoritmo hash FNV-1a.
Se necesita más investigación
Esto no es suficiente para decir que el grupo Turla está detrás del ataque SolarWinds y se necesita más investigación para establecer una atribución. Pero a menos que sea un señuelo sutil, es seguro asumir que existe al menos una conexión cooperativa entre los dos.
Los expertos consideran que Turla es una rama del servicio de inteligencia nacional del FSB. Sin embargo, según varias fuentes anónimas de la prensa estadounidense, Sunburst es más bien obra de APT 29, otro grupo de hackers rusos.
Las dos declaraciones no son necesariamente contradictorias. Según los servicios de inteligencia de Estonia, APT 29 es una “empresa conjunta” entre el FSB y el SVR, el servicio de inteligencia extranjero. Y entre buenos amigos, podemos compartir algunas herramientas.
Fuente : Kaspersky
Source: Sécurité – 01net by www.01net.com.
*The article has been translated based on the content of Sécurité – 01net by www.01net.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
