关于SolarWinds供应链攻击的归因影响了全球安全界的关注。此前,一些美国政府官员声称攻击者很可能是俄罗斯,一些未经证实的报道称威胁组织是APT29和Cozy Bear。但没有公布确凿或详细的证据。
卡巴斯基周一报道(https://securelist.com/sunburst-backdoor-kazuar/99981/)说SolarWinds攻击者Sunburst恶意软件与Kazuar之间发现了“有趣”的关联。“Sunburst和Kazuar的各代人的几个代码片段非常相似。我们应该指出,尽管类似,但这些代码块(例如UID计算子例程和FNV-1a哈希算法的用法和睡眠循环仍然不是100%相同。”
Kazuar自2015年以来一直活跃.NET2017年由后门程序组成Palo Alto Networks第一次详细介绍。
虽然没有人会明确Kazuar与已知的威胁行为者有关,但Palo Alto Networks在有关Kazuar第一次报告中发现的一些证据表明,Turla它可能已经被使用了,后者是一个臭名昭著的网络间谍组织,与俄罗斯有关,在过去的14年里攻击了许多政府组织。
据卡巴斯基说,过去几年,Kazuar与其他Turla同样的漏洞现相同的漏洞。Turla黑客可能已经将就Kazuar作为后门程序的第二阶段。
卡巴斯基指出,目前发现的相关信息不足以确认攻击者,大致有几种可能性:
- Sunburst和Kazuar可能是同一组开发的,但是Sunburst也可能只使用开发人员Kazuar有些代码或想法可能没有直接关联。
- SolarWinds攻击者和使用Kazuar所有小组都可以从相同的来源获取代码。
- Kazuar由于某种原因,开发人员也可能转移到Sunburst团队。
- Sunburst和Kazuar它们之间的相似之处只是误导调查人员的伪装信号。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看该作者更多好文