Les chercheurs en cybersécurité, pour la première fois, ont peut-être trouvé un lien potentiel entre la porte dérobée utilisée dans le piratage de SolarWinds et une souche de malware connue auparavant.

En nouveau recherche publié aujourd’hui par des chercheurs de Kaspersky, la société de cybersécurité a déclaré avoir découvert plusieurs fonctionnalités qui se chevauchent avec une autre porte dérobée connue sous le nom de Kazuar, un malware basé sur .NET documenté pour la première fois par Palo Alto Networks en 2017.

Révélée au début du mois dernier, la campagne d’espionnage était remarquable pour son ampleur et sa furtivité, les attaquants tirant parti de la confiance associée au logiciel SolarWinds Orion pour infiltrer les agences gouvernementales et d’autres entreprises afin de déployer un malware personnalisé nommé “Sunburst”.

Fonctionnalités partagées entre Sunburst et Kazuar

L’attribution du compromis de la chaîne d’approvisionnement de SolarWinds a été difficile en partie en raison du peu ou pas d’indices liant l’infrastructure d’attaque aux campagnes précédentes ou à d’autres groupes de menaces bien connus.

Mais la dernière analyse de Kaspersky de la porte dérobée Sunburst a révélé un certain nombre de fonctionnalités partagées entre le malware et Kazuar, ce qui a conduit les chercheurs à soupçonner que –

  • Sunburst et Kazuar ont été développés par le même groupe de menaces
  • L’adversaire derrière Sunburst a utilisé Kazuar comme source d’inspiration
  • Les groupes derrière Kazuar (Turla) et Sunburst (UNC2452 ou Dark Halo) ont obtenu le malware d’une seule source
  • Les développeurs de Kazuar ont rejoint une autre équipe, emportant leur ensemble d’outils avec eux, ou
  • Les développeurs de Sunburst ont délibérément introduit ces liens comme un “faux drapeau” pour rejeter le blâme sur un autre groupe

Les points communs partagés entre les deux familles de logiciels malveillants incluent l’utilisation d’un algorithme de veille pour rester inactif pendant une période aléatoire entre les connexions à un serveur C2, l’utilisation intensive du Hachage FNV-1a pour masquer le code malveillant, et l’utilisation d’un algorithme de hachage pour générer des identifiants de victime uniques.

Alors que Kazuar sélectionne au hasard une période de sommeil entre deux et quatre semaines entre les connexions C2, Sunburst opte au hasard pour une période de sommeil entre 12 et 14 jours avant de contacter le serveur pour la reconnaissance initiale. Mais les chercheurs ont noté que la formule utilisée pour calculer le temps de sommeil reste la même.

Liens possibles de Kazuar avec Turla

Kazuar est une porte dérobée complète écrite à l’aide du .NET Framework et repose sur un canal de commande et de contrôle (C2) pour permettre aux acteurs d’interagir avec le système compromis et d’exfiltrer les données. Ses fonctionnalités exécutent la gamme de logiciels espions typique, avec prise en charge de l’exécution de commandes malveillantes, de la capture de captures d’écran et même du déploiement de fonctionnalités supplémentaires via une commande de plugin.

L’équipe de l’Unité 42 de Palo Alto Networks à titre provisoire lié l’outil du groupe de menace russe Turla (alias Uroburos et Snake) basé sur le fait que la “lignée de code dans Kazuar peut être retracé au moins en 2005. “

De plus, le 18 novembre 2020, Kazuar semble avoir subi une refonte complète avec un nouveau keylogger et des fonctions de vol de mot de passe ajoutées à la porte dérobée implémentée sous la forme de commande de serveur C2.

Bien qu’il soit normal pour les acteurs de la menace de continuer à mettre à jour leur ensemble d’outils et d’introduire des fonctionnalités conçues pour contourner les systèmes de détection et de réponse des points finaux (EDR), les chercheurs de Kaspersky ont évoqué la possibilité que les changements aient été introduits en réponse à la violation SolarWinds.

“Suspectant que l’attaque SolarWinds pourrait être découverte, le code Kazuar a été modifié pour ressembler le moins possible à la porte dérobée Sunburst”, ont déclaré les chercheurs.

CISA met à jour l’avis SolarWinds

La semaine dernière, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), ainsi que le Federal Bureau of Investigation (FBI), le Bureau du directeur du renseignement national (ODNI) et la National Security Agency (NSA), ont publié une déclaration conjointe accusant formellement un adversaire “vraisemblablement d’origine russe” d’avoir organisé le piratage de SolarWinds.

De plus, CISA, dans un mettre à jour à son avis du 6 janvier, “les enquêtes sur la réponse aux incidents ont révélé que l’accès initial dans certains cas a été obtenu par devinettes de mot de passe, pulvérisation de mots de passe et informations d’identification administratives sécurisées de manière inappropriée accessibles via des services d’accès à distance externes.”

“Ces chevauchements de code entre Kazuar et Sunburst sont intéressants et représentent le premier lien potentiel identifié vers une famille de logiciels malveillants connue auparavant”, ont conclu les chercheurs de Kaspersky.

“Bien que Kazuar et Sunburst puissent être liés, la nature de cette relation n’est toujours pas claire. Grâce à une analyse plus approfondie, il est possible que des preuves confirmant un ou plusieurs de ces points puissent apparaître. Dans le même temps, il est également possible que le Sunburst les développeurs étaient vraiment bons dans leur opsec et n’ont commis aucune erreur, ce lien étant un faux drapeau élaboré. “



Leave a Reply