Rosyjski wywiad stoi za atakiem Sunburst? Badacze natrafili na pewien trop

W połowie grudnia 2020 r. firmy FireEye, Microsoft oraz SolarWinds poinformowały o wykryciu dużego, wyrafinowanego ataku na łańcuch dostaw, w którym wykorzystano nieznane wcześniej szkodliwe oprogramowanie "Sunburst". Jego ofiarą padli klienci oprogramowania Orion firmy SolarWinds.

Eksperci z zespołu firmy Kaspersky przyjrzeli się bliżej backdoorowi wykorzystanemu przez Sunburst. Odkryto wiele cech wspólnych ze znanym już wcześniej złośliwym oprogramowaniem Kazuar, napisanym przy użyciu platformy .NET Framework. Jego aktywność wiąże się z grupą Turla Advanced Persistent Threat (APT). Według doniesień wielu analityków bezpieczeństwa oraz wywiadu zachodniego, jest to wytwór rosyjskiej agencji rządowej o tej samej nazwie.

O istnieniu Kazuara jako pierwsza poinformowała firma Palo Alto w 2017 roku. Złośliwe oprogramowanie służyło wówczas do ataków cyberszpiegowskich na całym świecie w ciągu ostatnich trzech lat. Z kolei korzenie samej grupy Turla sięgają aż 2004 roku. Pomiędzy Kazuarem a Sunburst wykryto liczne podobieństwa, w tym algorytm uśpienia,  intensywne wykorzystywanie funkcji skrótu FNV1a czy generowanie unikalnych identyfikatorów każdej z ofiar.

W raporcie wskazano, że chociaż żaden z tych algorytmów ani implementacji nie jest unikalny, to uwagę badaczy przykuła obecność trzech wyraźnych pokrywających się przypadków. "Jeden zbieg okoliczności nie byłby aż tak niezwykły, dwa zbiegi okoliczności by nas zadziwiły, podczas gdy trzy takie zbiegi okoliczności wzbudzają podejrzenie". Badacze zwracają także uwagę, że fragmenty kodu nie są całkowicie identyczne - pozostawiając kilka możliwych przyczyn podobieństw. Mogło to być oczywiście zamierzone działanie.

Zidentyfikowany związek nie wystarczy, aby wskazać sprawcę ataku na firmę SolarWinds, jednak dzięki temu, że rzuca nieco więcej światła, może pomóc badaczom osiągnąć postępy w prowadzonych dochodzeniach. Uważamy, że badacze powinni przyjrzeć się tym podobieństwom i spróbować odkryć nowe fakty dotyczące backdoora Kazuar oraz pochodzenia Sunbursta - szkodnika wykorzystanego w ataku na firmę SolarWinds – komentuje Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Eksperci z Kaspersky będą dalej analizować kod w poszukiwaniu kolejnych podobieństw, czy potencjalnych dowodów na jego pochodzenie. Ten rozległy atak szpiegowski uderzający w SolarWinds dotknął do tej pory 10 departamentów rządu Stanów Zjednoczonych firmy Microsoft i FireEye oraz dziesiątki innych.

Sunburst został rozesłany za pośrednictwem backdoorów w aktualizacjach produktów do prawie 18 000 organizacji na całym świecie. Proces rozpoczął się już dziewięciu miesięcy temu. Dzięki gotowemu już Sunburst, atakujący mogą od tego czasu wybierać organizacje, których serwery potrzebują spenetrować. Te z kolei mogą nawet nie zdawać sobie sprawy z tego, że mają "wtyczkę" we własnej sieci.