Výskumníci zo spoločnosti Kaspersky odhalili podobnosti medzi útokom na dodávateľský reťazec priemyselného softvéru SolarWinds a malvérom ruskej hackerskej skupiny Turla.
Škodlivý kód Sunburst sa podobá konkrétne na malvér Kazuar, ktorý ATP Turla využíva na kyberšpionážne útoky po celom svete. V priebehu minulého roka takto napadla aj jednu z európskych vládnych inštitúcií.
Podobnosť je možné hľadať v spánkovom algoritme, častom využití hashu FNV-1a či algoritme využívanom pri generovaní ID pre obete.
Aj keď sú tieto podobnosti medzi Kazuarom a Sunburstom zjavné, pre ich existenciu môže existovať veľa vysvetlení.
Podobnosť nemusí nevyhnutne znamenať, že Sunburst vyvinula Turla. Môže ísť iba o inšpiráciu Kazuarom, prípadne iba o jednotlivca, ktorí mal ambíciu prispieť k vývoju Sunburstu. Ďalšou možnosťou je rovnaký pôvodný zdroj pre oba malvéry.
Ďalší kmeň malvéru
Experti CrowdStike, ktorí sa podieľajú na vyšetrovaní, zároveň zistili, že popri škodlivých kódoch Sunburst a Teardrop v útoku figuroval aj tretí kmeň malvéru – Sunspot.
Sunspot mal v rámci softvéru Orion za úlohu sledovať príkazy na takzvanom build serveri, vďaka ktorému sú zostavované menšie komponenty vývoja do väčších celkov.
V prípade, že sa na serveri objavil príkaz, Sunspot mal jeho zdrojový od nahradiť súbormi, ktoré do systému implementovali kľúčový škodlivý kód Sunburst.
Sabína Huťová