卡巴斯基索赔尊重和Kazuar之间的联系
根据Kasperksy的安全研究团队的说法,在2020年底部署了与Solarwinds Orion客户的崇容/森伯斯特的恶意软件与Kazuar后域的已知版本的代码相似之处。
Kazuar是使用.NET Framework的后门编写的,并于2017年由Palo Alto的42册安全团队发现,并在莫斯科支持的Turla高级持久威胁(APT)组时暂时联系。在过去的几年里,它已经大量用于世界各地的网络间谍攻击,卡巴斯基的调查结果对该理论提供了更多的重量,即2020年12月的网络攻击是俄罗斯订购的间谍活动。
这两者之间的重叠特征包括受害者UID生成算法,睡眠算法和FNV-1A哈希的使用,包括该公司的全球研究和分析团队的总监Kasperksy's Costin Raiu表示。
Raiu表示,代码片段不是100%相同,意思是关系的性质,如果有的话,如果有的话,并不完全清楚,但由于Solorige / Sunburst自近12个月前首次部署,萨克本身也进一步发展,在某些方面,其最近的变体更加类似。
“所确定的联系并没有放弃谁在太阳能攻击后面;但是,它提供更多的见解,可以帮助研究人员在这项调查中向前发展,“拉伊说。“我们认为,世界各地的其他研究人员都会调查这些相似之处,并试图发现关于Kazuar和Sunburst的起源的更多事实,在Solarwinds违规中使用的恶意软件。
“从过去的经验中判断,例如回顾佛教攻击,在初期将它们与拉撒路集团相连的事实很少。及时,更多的证据出现并允许我们和其他人以高信任将它们联系在一起。关于这一主题的进一步研究对于连接点至关重要。“
拉伊说,有几种可能的异议解释。例如,Soloration / Sunburst和Kazuar可以由同一组或Sunburst的开发人员开发,被称为Dark Halo或UNC2452,可能受到Kazuar制造商的启发。或者,这两个组都可以从第三方获得他们的恶意软件,或者某人可以交换团队,与他们一起接受知识和工具。
卡斯巴斯基 - Turla表示,编码相似之处甚至可能是一个错误的旗帜,本身都被录取了他人的机会主义的“劫持”作为过去的混淆技术。
卡巴斯基团队补充说,无论重叠表示,他们的研究都不应该改变任何用于防守者的东西 - 供应链攻击是一般,非常复杂,非常危险,无论他们的血统如何。
为了限制这种攻击潜在暴露,卡巴斯基建议捍卫者采取三个关键步骤。首先,网络管理软件应在单独的VLAN上隔离并与用户网络分开监视。其次,来自服务器或运行第三方软件的其他设备的外部互联网连接应该有限。第三,捍卫者应该定期定期内存倾倒和分析,检查使用与恶意软件数据库匹配的代码相似性工具以解密状态运行的恶意代码 - 卡巴斯基自己的威胁归因引擎是一个这样的工具,其他工具可用。
供应商还建议提供安全团队访问威胁情报服务。
有关两台恶魔座之间的明显环节的更多信息,包括在卡巴斯基的Securelist Blog上可以找到深入的技术细节。