Cookie Consent by Free Privacy Policy website Kaspersky rileva somiglianze di codice tra Kazuar e Sunburst, backdoor impiegata nell’attacco a SolarWinds
gennaio 11, 2021 - Kaspersky Lab

Kaspersky rileva somiglianze di codice tra Kazuar e Sunburst, backdoor impiegata nell’attacco a SolarWinds

Milano, 11 gennaio 2021

 Il 13 dicembre 2020, FireEye, Microsoft e SolarWinds hanno annunciato la scoperta di un sofisticato attacco su larga scala alla supply chain per il quale è stato implementato “Sunburst”, un malware precedentemente sconosciuto che ha preso di mira i clienti della piattaforma IT Orion di SolarWinds. Gli esperti di #kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar, una tipologia di malware che fornisce l'accesso remoto al dispositivo preso di mira. Queste nuove informazioni hanno fornito ai ricercatori elementi utili per proseguire le indagini sull'attacco.

L'analisi della backdoor Sunburst ha permesso agli esperti di #kaspersky di rilevare una serie di caratteristiche simili a quelle della già nota Kazuar, una backdoor scritta utilizzando il framework .NET, individuata per la prima volta da Palo Alto nel 2017 ed utilizzata in attacchi di spionaggio informatico in tutto il mondo.

Le numerose analogie nel codice suggeriscono che ci sia una relazione, di natura ancora indeterminata, tra Kazuar e Sunburst. Le caratteristiche comuni tra Sunburst e Kazuar comprendono l’algoritmo di generazione UID della vittima, l’algoritmo usato per calcolare i tempi di “sleep” e l’uso estensivo dell’algoritmo di “hashing” FNV-1a. Secondo quanto osservato dai ricercatori, i frammenti di codice non sarebbero del tutto identici pertanto, Kazuar e Sunburst, potrebbero essere collegati ma resta ancora da chiarire la natura di questa relazione.

Dopo la prima comparsa del malware Sunburst nel febbraio 2020, Kazuar ha continuato ad evolversi. Le sue successive varianti, osservate a partire dal 2020, sono per certi versi ancora più simili a Sunburst.

Nel complesso, durante gli anni dell'evoluzione di Kazuar, gli esperti hanno osservato un continuo sviluppo, in cui sono state aggiunte caratteristiche significative che assomigliano a Sunburst. Tuttavia, le evidenti analogie tra i due malware potrebbero dipendere da diverse ragioni. Ad esempio, Sunburst potrebbe essere stato sviluppato dallo stesso gruppo che ha ideato Kazuar o i suoi sviluppatori potrebbero essersi ispirati a quest’ultimo. O ancora, uno sviluppatore di Kazuar potrebbe essersi unito al team di Sunburst o entrambi i gruppi avrebbero ottenuto il loro malware dalla stessa fonte.

"Il legame riscontrato tra i due malware, sebbene non permetta di stabilire con certezza chi sia l’autore dell’attacco a SolarWinds, fornisce ai ricercatori degli indizi utili all'indagine. Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull'origine di Sunburst, il malware utilizzato per la violazione di SolarWinds. Guardando, ad esempio, all'attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti", ha dichiarato Costin Raiu, direttore del Global Research and Analysis Team di #kaspersky.

Maggiori dettagli tecnici sulle somiglianze tra SolarWinds e Kazuar sono disponibili nel report su Securelist, dove è possibile trovare anche ulteriori ricerche di #kaspersky su Sunburst e su come l'azienda protegga i propri clienti da questa backdoor.

Per proteggersi da malware simili alla backdoor che ha preso di mira SolarWinds, #kaspersky raccomanda di:

  • Fornire al SOC team l'accesso alla più recente threat intelligence (TI). Kaspersky Threat Intelligence Portal consente di accedere alla TI dell'azienda e fornisce dati sui cyber-attacchi e approfondimenti raccolti da #kaspersky in oltre 20 anni di esperienza nel settore. L'accesso gratuito alle funzionalità che consentono di controllare file, URL e indirizzi IP è disponibile a questo link.
  • Le organizzazioni che desiderano condurre le proprie indagini possono usufruire di Kaspersky Threat Attribution Engine, che confronta il codice dannoso scoperto con i database di malware e, basandosi sulle somiglianze di codice, lo attribuisce alle campagne APT già note.

News correlate

febbraio 28, 2024
ottobre 26, 2023
ottobre 26, 2023

i ricercatori di Kaspersky hanno scoperto che le vulnerabilità di un popolare robottino smart potrebbero rendere i bambini potenzi...

in occasione del Security Analyst Summit, il Global Research and Analysis Team (GReAT) di Kaspersky svela i risultati delle sue an...

in occasione del Security Analyst Summit (SAS), evento annuale che riunisce ricercatori anti-malware di alto livello, attualmente ...

Ti potrebbe interessare anche

settembre 13, 2023
settembre 11, 2023
giugno 15, 2023

Milano, 13 settembre 2023Kaspersky ha presentato una ricerca sulle attività del famigerato gruppo ransomware Cuba, che ha recentem...

In vista dell’imminente lancio del nuovo iPhone 15 di Apple, gli esperti di #kaspersky hanno scoperto numerose truffe che sfruttan...

Il nuovo report del team Digital Footprint Intelligence di Kaspersky rileva che negli ultimi sette anni i ransomware sono stati i ...