Stojí za útokem na americké úřady tvůrci malwaru Kazuar? Kaspersky odhalil spojitosti s backdoorem Sunburst

11. ledna 2021 – Experti společnosti Kaspersky odhalili, že zatím nevyjasněný útok na prémiovou softwarovou společnost SolarWinds, která dodává řešení pro americké federální organizace a stovky největších globálních společností, má blízko k už známým verzím backdooru Kazuar. Ten rovněž umožnuje vzdálený přístup do napadeného počítače podobným způsobem. Tyto informace by mohly pomoci při identifikaci útočníků, kteří v prosinci napadli řadu institucí v USA. Rozsáhlý sofistikovaný supply chain útok, jenž využíval dříve neznámý malware – Sunburst – k napadení IT zákazníků produktu Orion, odhalily společnosti FireEye, Microsoft a SolarWinds zhruba před měsícem, přesně 13. prosince 2020.

Když analytici společnosti Kaspersky zkoumali backdoor používaný malwarem Sunburst, objevili množství znaků shodných s backdoorem Kazuar, který byl už identifikován dříve s tím, že používá platformu .NET Framework. Jako první oznámila jeho objevení společnost Palo Alto v roce 2017 a uvedla, že se používá ke kybernetickým špionážním útokům po celém světě. Značné podobnosti v kódech malwarů Kazuar a Sunburst naznačují, že je mezi nimi spojitost, ačkoli její povaha zůstává nejasná.

Inspirace nebo stejný útočník?

Mezi shodné či podobné rysy malwarů Sunburst a Kazuar patří algoritmus generující identifikaci napadeného uživatele (UID), podobnosti kódů v algoritmu výchozího režimu spánku a hojné využívání hashe FNV1a (jednoduchá hashovací funkce) pro zmatení porovnávání kódů. Fragmenty kódů však nejsou identické. Podle odborníků se zdá, že Sunburst mohl být vytvořen podle otisků zdrojového kódu malwaru Kazuar z konce roku 2019.

Malware Kazuar se navíc neustále vyvíjel a jeho pozdější verze z roku 2020 jsou dokonce v jistých ohledech ještě více podobné větvi malwaru Sunburst.

Celkově lze říci, že odborníci společnosti Kaspersky během oněch několika let vývoje malwaru Kazuar pozorovali neustálý vývoj, během něhož byly přidávány určité významné funkce, které jsou podobné i u malwaru Sunburst. I když jsou tyto podobnosti mezi malwary Kazuar a Sunburst zjevné, může existovat mnoho důvodů, proč se tak děje: Sunburst vyvíjela stejná skupina jako Kazuar, vývojáři malwaru Sunburst použili Kazuar jako výchozí inspiraci, vývojář malwaru Kazuar přešel do týmu Sunburstu nebo obě skupiny stojící za vývojem malwarů Sunburst a Kazuar získaly své škodlivé kódy ze stejného zdroje.

Je to důležitý poznatek pro další pátrání

„Zjištěné spojitosti sice neobjasňují, kdo stál za útokem na společnost SolarWinds, nicméně přinášejí hlubší poznatky, jež můžou výzkumníkům pomoct pokročit s tímto pátráním dále. Jsme přesvědčeni, že je důležité, aby další výzkumníci z celého světa tyto podobnosti zkoumali a pokoušeli se zjistit více faktů o malwaru Kazuar a původu Sunburstu, malwaru použitého při napadení společnosti SolarWinds. Pokud se máme poučit z dřívějších zkušeností a vzpomeneme-li si na virus Wannacry – i když je to dávno, bylo tehdy jen velmi málo skutečností, které by jej spojovaly se skupinou s názvem Lazarus. Postupně se objevilo víc důkazů, které umožnily nám i dalším toto propojení důvěryhodně prokázat. Další výzkum současného problému je tedy nezbytný, aby bylo možné z jednotlivých střípků vytvořit ucelený obraz,“ konstatuje Costin Raiu, ředitel globálního týmu pro výzkum a analýzu společnosti Kaspersky.

Bližší technické detaily ohledně podobností mezi malwarem Sunburst, který napadl společnost SolarWinds, a backdoorem Kazuar přibližuje článek na serveru Securelist.com. Další informace o výzkumu společnosti Kaspersky týkajícího se malwaru Sunburst si můžete přečíst zde, a zde zase, jak Kaspersky své zákazníky před backdoorem Sunburst chrání.

Jak ochránit svou společnost před malwarem, jako je backdoor Sunburst? Bezpečnostní experti společnosti Kaspersky doporučují následující opatření:

• Zajistěte, aby váš SOC tým (Security Operations Center) měl k dispozici přístup k nejaktuálnějším informacím o známých hrozbách (threat intelligence, TI). Portál společnosti Kaspersky věnovaný analýze kybernetických hrozeb Kaspersky Threat Intelligence Portal poskytuje firmám potřebné informace o TI, údaje o kybernetických útocích a znalosti, jež společnost Kaspersky získala během více než 20 let své existence. Bezplatný přístup k funkcím, jejichž použití vám usnadní průvodce a které vám umožní zkontrolovat soubory, URL a IP adresy, je k dispozici zde.

• Organizace, které by chtěly provádět vlastní výzkumy, můžou využít znalostní báze, kterou nabízí nástroj Kaspersky Threat Attribution Engine. Porovnává zjištěné škodlivé kódy s údaji v databázích malwarů a na základě podobností kódů je přiřazuje k dříve odhaleným kampaním pokročilých přetrvávajících hrozeb (Advanced Persistent Threats, APT).

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která byla založena v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a uživatelů po celém světě. Komplexní portfolio zabezpečení, jež tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání více než 400 milionů uživatelů a pro 250 000 firemních klientů přinášíme ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na adrese www.kaspersky.com.