Los expertos conectan el ataque de SolarWinds con el backdoor Kazuar

  • Actualidad

Kazuar, una puerta trasera escrita usando el framework .NET, detectada por Palo Alto en 2017 y utilizada en ataques de ciberespionaje en todo el mundo, presenta múltiples similitudes de código con Sunburst, por lo que ambas amenazas podrían haber sido desarrolladas por el mismo grupo.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

El pasado 13 de diciembre, FireEye, Microsoft y SolarWinds anunciaron el descubrimiento de un sofisticado ataque a la cadena de suministro, que implementó un nuevo malware previamente desconocido, denominado Sunburst, que fue utilizado contra los clientes de Orion TI de SolarWinds. Los expertos de Kaspersky ahora han encontrado varias similitudes de código específicas entre Sunburst y las versiones conocidas del backdoor Kazuar, un tipo de malware que proporciona acceso remoto a la máquina de la víctima. Los nuevos hallazgos brindan información que puede ayudar a los investigadores a avanzar en la investigación del ataque.

Mientras estudiaban el backdoor Sunburst, los expertos de Kaspersky descubrieron una serie de características que se superponen con Kazuar. Escrita usando el framework .NET, y descubierta por Palo Alto informó en 2017, la puerta trasera se utilizó en ataques de ciberespionaje en todo el mundo. Después de que se implementó por primera vez el malware Sunburst en febrero de 2020, Kazuar continuó evolucionando y las variantes posteriores son aún más similares en algunos aspectos a Sunburst.

Las características superpuestas entre Sunburst y Kazuar incluyen el algoritmo de generación de UID de la víctima, el algoritmo de suspensión y el uso extensivo del hash FNV-1a. Según los expertos, estos fragmentos de código no son 100% idénticos, lo que sugiere que Kazuar y Sunburst pueden estar relacionados, aunque la naturaleza de esta relación aún no está del todo clara. Puede ser que Sunburst esté siendo desarrollado por el mismo grupo que Kazuar, que los desarrolladores de Sunburst utilicen Kazuar como punto de inspiración, que se haya producido el traslado de uno de los desarrolladores de Kazuar al equipo Sunburst, o que ambos grupos detrás de Sunburst y Kazuar hayan obtenido su malware de la misma fuente.

“La conexión identificada no revela quién estuvo detrás del ataque SolarWinds, sin embargo, proporciona más información que puede ayudar a los investigadores a avanzar en esta investigación. Creemos que es importante que otros investigadores de todo el mundo investiguen estas similitudes e intenten descubrir más datos sobre Kazuar y el origen de Sunburst, el malware utilizado en el ataque de SolarWinds. A juzgar por la experiencia pasada, por ejemplo, mirando hacia atrás al ataque de WannaCry, en los primeros días, había muy pocos hechos que los vincularan con el grupo Lazarus. Con el tiempo, aparecieron más pruebas que nos permitieron a nosotros y a otros vincularlos con gran confianza. Investigar más sobre este tema es crucial”, comenta Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky.