Kaspersky-Analyse zum Solarwinds-Hack
Code-Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor
Die Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die neuen Erkenntnisse sollen IT-Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen.
Mitte Dezember 2020 gaben FireEye, Microsoft und SolarWinds die Entdeckung eines großen, hoch komplexen Supply-Chain-Angriffs bekannt, bei dem die bisher unbekannte Malware „Sunburst“ gegen Anwender von SolarWinds Orion im Einsatz war. Bei der Analyse der Sunburst-Backdoor entdeckten die Sicherheitsforscher von Kaspersky eine Reihe von Funktionen, die sich mit denen der im .NET-Framework geschriebenen Backdoor „Kazuar“ überschneiden. Palo Alto hat Kazuar erstmals im Jahr 2017 beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Mehrere Ähnlichkeiten im Code deuten auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur.
Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehören der UID (User Idenitifier), Generierungsalgorithmus, der Sleep-Algorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut den Experten sind diese Code-Fragmente nicht 100-prozentig identisch, was darauf hindeutet, dass Kazuar und Sunburst verwandt sein könnten, auch wenn die Art dieser Beziehung noch nicht ganz klar ist.
Nach der ersten Bereitstellung der Sunburst-Malware im Februar 2020 erfolgte eine Weiterentwicklung von Kazuar. Spätere 2020-Varianten ähneln in gewisser Hinsicht Sunburst noch mehr. Über die Jahre der Kazuar-Entwicklung hinweg konnten die Kaspersky-Experten eine kontinuierliche Weiterentwicklung feststellen, bei der Funktionen hinzukamen, die Sunburst ähneln.
Diese Ähnlichkeiten können unterschiedliche Gründe haben, beispielsweise dass dieselbe Gruppe Sunburst und Kazuar entwickelt hat oder die Sunburst-Entwickler Kazuar als Vorlage verwendet haben. Es könnte auch sein, dass ein Kazuar-Entwickler zum Sunburst-Team gewechselt hat oder die beiden Gruppen hinter Sunburst und Kazuar ihre Malware jeweils aus derselben Quelle bezogen haben.
Um das Risiko einer Infektion mit Malware wie der Solarwinds-Backdoor zu vermeiden, empfiehlt Kaspersky, dass SOC-Teams stets Zugriff auf aktuelle Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal gewähre Zugriff auf die über zwanzigjährige Threat Intelligence des Unternehmens und biete Erkenntnisse zu Cyberbedrohungen. Außerdem sollten Unternehmen, die ihre eigenen Untersuchungen durchführen, mit Kaspersky Threat Attribution Engine gefundenen Schadcode mit Malware-Datenbanken abgleichen. Das Kaspersky-Tool schreibe diesen dann basierend auf den Code-Ähnlichkeiten zuvor aufgedeckten APT-Kampagnen zu.
Weitere Informationen stehen unter www.kaspersky.de zur Verfügung.
Lesen Sie mehr zum Thema
