Secondo un’analisi rilasciata da Kaspersky, nell’attacco a SolarWinds le backdoor “Sunburts” e “Kazuar”, risultano utilizzare parte dello stesso codice. Kazuar è una backdoor che i ricercatori hanno precedentemente collegata a un gruppo di hacker russi.
All’inizio di questo mese, le forze dell’ordine e le agenzie di intelligence statunitensi che indagano sull’hack della catena di approvvigionamento di SolarWinds hanno affermato che l’attacco è probabilmente opera di un gruppo russo che ha condotto una campagna di spionaggio informatico.
Attacco SolarWinds: Sunburts e Kazuar hanno lo stesso algoritmo “dormiente”
I ricercatori di Kaspersky affermano di aver trovato tre sovrapposizioni tra Sunburst e Kazuar. Ciò include l’algoritmo “dormiente” che calcola il tempo che intercorre tra il momento in cui le backdoor vengono installate all’interno di una rete e il momento in cui si connettono al server di command and control degli aggressori.
Il nuovo rapporto di Kaspersky, che come è bene ricordare è un’azienda russa, sottolinea che mentre esiste una sovrapposizione di codice tra le backdoor Sunburst e Kazuar, non esiste un collegamento diretto tra le due varianti di malware.
“Il legame riscontrato tra i due malware, sebbene non permetta di stabilire con certezza chi sia l’autore dell’attacco a SolarWinds, fornisce ai ricercatori degli indizi utili all’indagine. Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull’origine di Sunburst, il malware utilizzato per la violazione di SolarWinds. Guardando, ad esempio, all’attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti”, ha dichiarato Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky.