I december 2020 offentliggjorde FireEye, Microsoft och SolarWinds att de upptäckt den omfattande och sofistikerade cybersäkerhetsattacken där en ny och hittills okänd skadlig kod, kallad Sunburst, hade använts mot SolarWinds kunder.
Nu har cybersäkerhetsexperter hos Kaspersky analyserat Sunburst och hittat flera likheter med tidigare kända versioner av Kazuars bakdörrar, en typ av skadlig kod som ger angripare fjärråtkomst till utsatta enheter. Att det finns flera likheter i koden tyder på en koppling mellan Kazuar och Sunburst. Dessa resultat kan vara viktiga ledtrådar i den fortsatta utredningen av attacken.
Enligt Kasperskys experter är kodfragmenten inte helt identiska. De har dock flera funktioner som liknar varandra, som bland annat UID-genereringsalgoritmen, den vilande algoritmen och den omfattande användningen av FNV-1a-hash.
Efter att Sunburst först distribuerats i februari 2020 har Kazuar fortsatt att utvecklas och de varianter som uppkommit under senare delen av 2020 har ännu fler likheter med Sunburst. Sett över hela Kazuars utveckling har viktiga funktioner som liknar Sunbursts adderats under åren. Även om likheterna är påtagliga kan det finnas flera anledningar till dem. Sunburst kan ha utvecklats av samma grupp som utvecklat Kazuar, utvecklare kan ha bytt från den ena till den andra gruppen och tagit med sig kompetens, att den ursprungliga koden kommit från samma källa eller att Kazuar har inspirerat utvecklarna av Sunburst.
– Kopplingen mellan de olika koderna är inte tillräckligt för att avslöja vem eller vilka som ligger bakom SolarWinds-attacken, men den ger information som kan bidra till den fortsatta utredningen, säger Costin Raiu, chef för Kasperskys globala forsknings- och analysteam. Det är viktigt att fler forskare och experter fortsätter analysera likheterna. När vi tittar tillbaka på exempelvis WannaCry-attacken, fanns det väldigt lite fakta som kopplade den till gruppen Lazarus i början, men över tid kom fler och fler bevis fram som gjorde att vi och även andra med hög sannolikhet kunde koppla attacken till Lazarus.