有关在庞大的SolarWinds 供应链攻击中使用的 Sunburst 后门的新细节可能将其与 Turla 高级持续威胁 (APT) 组织先前已知的活动联系起来。
卡巴斯基的研究人员发现了 Sunburst 和 Kazuar 后门之间的几个代码相似之处。Kazuar 是一种使用 .NET 框架编写的恶意软件,Palo Alto 于 2017 年首次报道(尽管其开发可追溯到 2015 年)。
据卡巴斯基称,它已被发现是全球网络间谍攻击的一部分。那里的研究人员表示,在过去三年的多次违规中,它一直与已知的 Turla 工具一起使用。根据卡巴斯基之前的研究,Turla(又名 Snake、Venomous Bear、Waterbug 或 Uroboros)是自 2014 年以来已知的俄语威胁行为者,但其根源可以追溯到 2004 年或更早。
Sunburst 和 Kazuar 之间的重叠特征包括睡眠算法;FNV-1a 哈希的广泛使用;以及用于为受害者生成唯一 ID (UID) 的算法。
该公司在周一发布的一份分析报告中指出:“在 Sunburst 恶意软件于 2020 年 2 月首次部署后,Kazuar 继续发展,2020 年后期的变体在某些方面与 Sunburst 更加相似。” “总的来说,在 Kazuar 的演变过程中,专家们观察到了持续的发展,其中增加了与 Sunburst 相似的重要特征。”
报告补充说,虽然这些算法或实现都不是独一无二的,但三个不同重叠的存在引起了研究人员的注意:“一个巧合不会那么不寻常,两个巧合肯定会引起人们的注意,而三个这样的巧合有点像怀疑我们。”
也就是说,研究人员警告说,代码片段并不完全相同——留下了几个可能的重叠原因。
“虽然 Kazuar 和 Sunburst 之间的这些相似之处值得注意,但它们存在的原因可能有很多,包括 Sunburst 与 Kazuar [Turla] 由同一组开发,Sunburst 的开发人员使用 Kazuar 作为灵感,Kazuar 开发人员转向 Sunburst团队,或者 Sunburst 和 Kazuar 背后的两个团队都从同一来源获得了他们的恶意软件,”报告称。