Společnost Kaspersky ukazuje možnou stopu při pátrání po původu hacku SolarWinds

Úterý 12.1.2021Úterý 12.1.2021 Petr Bílek algoritmus, backdoor, kaspersky, Kazuar, malware, pátrání, SolarWinds, Sunburst

V posledních týdnech hýbe PC bezpečnostní komunitou kauza SolarWinds. Ta zasáhla desítky federálních institucí v USA (včetně několika tajných služeb) a stovky až tisíce společností včetně lídrů technologického trhu, jako jsou Microsoft, Nvidia nebo Intel. Dostupným zdrojovým kódům škodlivého softwaru se věnují také profesionálové z oboru. Analytici společnosti Kaspersky přišli se zajímavým zjištěním.

Podle jejich výzkumu má útok velmi blízko k již známým verzím backdooru Kazuar. Jedná se o program, který stejně jako kód využitý u SolarWinds dokáže zajistit nepozorovaný vzdálený přístup do cizího počítače.

Mezi shodné či podobné rysy malwarů Sunburst (kód použitý v rámci kauzy SolarWinds) a Kazuar patří algoritmus generující identifikaci napadeného uživatele (UID), podobnosti kódů v algoritmu výchozího režimu spánku a hojné využívání hashe FNV1a (jednoduchá hashovací funkce) pro zmatení porovnávání kódů. Fragmenty kódů však nejsou identické. Podle odborníků se zdá, že Sunburst mohl být vytvořen podle otisků zdrojového kódu malwaru Kazuar z konce roku 2019.

Odborníkům se dařilo sledovat vývoj malwaru Kazuar, do nějž byly postupně přidávané nové funkce a možnosti, které jsou velmi podobné těm využitým u malware Sunburst. To by mohlo znamenat několik věcí – buď se na vývoji podílela stejná skupina, nebo alespoň někteří její členové. Možné také je, že Kazuar posloužil vývojářům Sunburstu jako přímá inspirace.

„Zjištěné spojitosti sice neobjasňují, kdo stál za útokem na společnost SolarWinds, nicméně přinášejí hlubší poznatky, jež můžou výzkumníkům pomoci pokročit s tímto pátráním dále. Jsme přesvědčeni, že je důležité, aby další výzkumníci z celého světa tyto podobnosti zkoumali a pokoušeli se zjistit více faktů o malwaru Kazuar a původu Sunburstu, malwaru použitého při napadení společnosti SolarWinds. Pokud se máme poučit z dřívějších zkušeností a vzpomeneme-li si na virus Wannacry – i když je to dávno, bylo tehdy jen velmi málo skutečností, které by jej spojovaly se skupinou s názvem Lazarus. Postupně se objevilo víc důkazů, které umožnily nám i dalším toto propojení důvěryhodně prokázat. Další výzkum současného problému je tedy nezbytný, aby bylo možné z jednotlivých střípků vytvořit ucelený obraz,“ konstatuje Costin Raiu, ředitel globálního týmu pro výzkum a analýzu společnosti Kaspersky.

Zdroj: tisková zpráva

Novinky Ostatní elektronika Recenze Videa

Cookie	Délka	Popis
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Mohlo by se vám líbit