Domov Novinky Malvér Sunburst sa podobá Kazuaru od ruskej Turly

Malvér Sunburst sa podobá Kazuaru od ruskej Turly

Zdielať

Výskumníci zo spoločnosti Kaspersky odhalili podobnosti medzi útokom na dodávateľský reťazec priemyselného softvéru SolarWinds a malvérom ruskej hackerskej skupiny Turla.

Škodlivý kód Sunburst sa podobá konkrétne na malvér Kazuar, ktorý ATP Turla využíva na kyberšpionážne útoky po celom svete. V priebehu minulého roka takto napadla aj jednu z európskych vládnych inštitúcií. Podobnosť je možné hľadať v spánkovom algoritme, častom využití hashu FNV-1a či algoritme využívanom pri generovaní ID pre obete. Aj keď sú tieto podobnosti medzi Kazuarom a Sunburstom zjavné, pre ich existenciu môže existovať veľa vysvetlení. Podobnosť nemusí nevyhnutne znamenať, že Sunburst vyvinula Turla. Môže ísť iba o inšpiráciu Kazuarom, prípadne iba o jednotlivca, ktorí mal ambíciu prispieť k vývoju Sunburstu. Ďalšou možnosťou je rovnaký pôvodný zdroj pre oba malvéry.

Experti CrowdStike, ktorí sa podieľajú na vyšetrovaní, zároveň zistili, že popri škodlivých kódoch Sunburst a Teardrop v útoku figuroval aj tretí kmeň malvéru – Sunspot. Sunspot mal v rámci softvéru Orion za úlohu sledovať príkazy na takzvanom build serveri, vďaka ktorému sú zostavované menšie komponenty vývoja do väčších celkov. V prípade, že sa na serveri objavil príkaz, Sunspot mal jeho zdrojový od nahradiť súbormi, ktoré do systému implementovali kľúčový škodlivý kód Sunburst.

Zdroj