attacco SolarWinds Sunburts Kazuar

Kaspersky: la backdoor dell’attacco a SolarWinds “Sunburst” simile alla “Kazuar” russa
Entrambe le backdoor utilizzano lo stesso algoritmo "dormiente"

1 min


Secondo un’analisi rilasciata da Kaspersky, nell’attacco a SolarWinds le backdoor “Sunburts” e “Kazuar”, risultano utilizzare parte dello stesso codice. Kazuar è una backdoor che i ricercatori hanno precedentemente collegata a un gruppo di hacker russi.

All’inizio di questo mese, le forze dell’ordine e le agenzie di intelligence statunitensi che indagano sull’hack della catena di approvvigionamento di SolarWinds hanno affermato che l’attacco è probabilmente opera di un gruppo russo che ha condotto una campagna di spionaggio informatico.

Attacco SolarWinds: Sunburts e Kazuar hanno lo stesso algoritmo “dormiente”

I ricercatori di Kaspersky affermano di aver trovato tre sovrapposizioni tra Sunburst e Kazuar. Ciò include l’algoritmo “dormiente” che calcola il tempo che intercorre tra il momento in cui le backdoor vengono installate all’interno di una rete e il momento in cui si connettono al server di command and control degli aggressori.

Il nuovo rapporto di Kaspersky, che come è bene ricordare è un’azienda russa, sottolinea che mentre esiste una sovrapposizione di codice tra le backdoor Sunburst e Kazuar, non esiste un collegamento diretto tra le due varianti di malware.

attacco SolarWinds Sunburts KazuarL’uso di codice simile in entrambe le backdoor potrebbe essere un’operazione “false flag”, afferma Kaspersky. D’altra parte, è anche possibile che gli operatori di Sunburst e Kazuar abbiano attinto dallo stesso codice sorgente, o che uno o più sviluppatori che hanno lavorato su Kazuar siano passati al gruppo che ha sviluppato Sunburst, portando con sé alcuni strumenti e conoscenze.

“Il legame riscontrato tra i due malware, sebbene non permetta di stabilire con certezza chi sia l’autore dell’attacco a SolarWinds, fornisce ai ricercatori degli indizi utili all’indagine. Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull’origine di Sunburst, il malware utilizzato per la violazione di SolarWinds. Guardando, ad esempio, all’attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti”, ha dichiarato Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky.

Kaspersky Total Security 2020 | 5 Dispositivi | 1 Anno |...
  • antivirus, kaspersky, virus, malware, protezione

Danilo Loda

100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.