Kaspersky identifie un lien entre l'attaque de SolarWinds et le backdoor Kazuar

Par:
fredericmazue

lun, 11/01/2021 - 16:23

Le 13 décembre dernier, FireEye, Microsoft et SolarWinds découvraient dans leurs réseaux informatiques une attaque sophistiquée ciblant leur chaîne logistique. Cette attaque déployait alors un nouveau malware, jusqu'ici inconnu, « Sunburst », utilisé contre les clients informatiques d’Orion de SolarWinds. Les experts de Kaspersky ont trouvé diverses similitudes de code spécifiques entre Sunburst et des versions connues de la porte dérobée (backdoor) Kazuar - un type de malware qui permet d'accéder et de commander à distance la machine d'une victime. Ces nouvelles découvertes donnent des informations supplémentaires aux chercheurs, toujours en cours d’enquête sur l'attaque.

En étudiant la porte dérobée Sunburst, les experts de Kaspersky ont trouvé de nombreux points communs avec l’attaque de même type, identifiée précédemment, Kazuar, une backdoor développée utilisant la structure .NET et signalée pour la première fois par Palo Alto en 2017. Elle est depuis utilisée dans diverses campagnes de cyber-espionnage à travers le monde. Les multiples similitudes de code suggèrent un lien entre Kazuar et Sunburst, bien que la nature de celui-ci reste indéterminée.

Les similitudes entre Sunburst et Kazuar comprennent notamment l'algorithme de génération de l’identifiant utilisateur (UID) de la victime, l'algorithme de veille et l'utilisation extensive du hachage FNV-1a, une fonctionnalité simple, permettant notamment d’obscurcir les comparaisons de chaînes de caractères. Selon les experts, ces fragments de code ne sont pas identiques à 100%, ce qui suggère que Kazuar et Sunburst sont liés, même si lesdits liens ne sont pas encore tout à fait clairs.

Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst.

Dans l'ensemble, les experts ont observé, dans les différentes mutations de Kazuar des caractéristiques spécifiques ayant des similarités avec des échantillons de Sunburst. Ces points communs soulèvent différentes hypothèses pour expliquer ces similarités comme :

  • L’origine commune de Sunburst et Kazuar qui auraient été créés par le même groupe,
  • Le fait que les développeurs de Sunburst s’inspirent de Kazuar
  • L’idée que l'un des développeurs de Kazuar ait rejoint l'équipe Sunburst,
  • Ou encore le fait que les deux groupes à l'origine de Sunburst et Kazuar aient obtenu leurs logiciels malveillants de la même source.

« Les liens identifiés ne révèlent pas qui était derrière l'attaque de SolarWinds, mais ils fournissent davantage d'informations aidant les chercheurs à avancer dans leur enquête. Nous pensons qu'il est important que d'autres experts étudient ces similitudes et tentent d’en savoir davantage sur Kazuar et l'origine de Sunburst, le malware utilisé dans l'attaque de SolarWinds. Avec le recul d’expériences passées comparables, si l'on se penche par exemple sur l'attaque de WannaCry, nous n’avions que peu de données permettant de le relier au groupe Lazarus au début de l’enquête. Avec le temps, nous avons trouvé de nouvelles preuves qui nous ont permis, ainsi qu'à d'autres, d’identifier, avec certitude, l’origine de l’attaque. Il est donc crucial de poursuivre les recherches autour de cette attaque. », commente Costin Raiu, directeur du GReAT chez Kaspersky.