Malvér Sunburst sa podobá Kazuaru od ruskej Turly

Malvér Sunburst sa podobá Kazuaru od ruskej Turly

Výskumníci zo spoločnosti Kaspersky odhalili podobnosti medzi útokom na dodávateľský reťazec priemyselného softvéru SolarWinds a malvérom ruskej hackerskej skupiny Turla.

Škodlivý kód Sunburst sa podobá konkrétne na malvér Kazuar, ktorý ATP Turla využíva na kyberšpionážne útoky po celom svete. V priebehu minulého roka takto napadla aj jednu z európskych vládnych inštitúcií.

Podobnosť je možné hľadať v spánkovom algoritme, častom využití hashu FNV-1a či algoritme využívanom pri generovaní ID pre obete.

Aj keď sú tieto podobnosti medzi Kazuarom a Sunburstom zjavné, pre ich existenciu môže existovať veľa vysvetlení.

Podobnosť nemusí nevyhnutne znamenať, že Sunburst vyvinula Turla. Môže ísť iba o inšpiráciu Kazuarom, prípadne iba o jednotlivca, ktorí mal ambíciu prispieť k vývoju Sunburstu. Ďalšou možnosťou je rovnaký pôvodný zdroj pre oba malvéry.

Ďalší kmeň malvéru

Experti CrowdStike, ktorí sa podieľajú na vyšetrovaní, zároveň zistili, že popri škodlivých kódoch Sunburst a Teardrop v útoku figuroval aj tretí kmeň malvéru – Sunspot.

Sunspot mal v rámci softvéru Orion za úlohu sledovať príkazy na takzvanom build serveri, vďaka ktorému sú zostavované menšie komponenty vývoja do väčších celkov.

V prípade, že sa na serveri objavil príkaz, Sunspot mal jeho zdrojový od nahradiť súbormi, ktoré do systému implementovali kľúčový škodlivý kód Sunburst.


Sabína Huťová