Solarwinds: Kaspersky sieht Verbindung zwischen Sunburst und Kazuar

Der Code bei der Solarwinds-Attacke weist angeblich Ähnlichkeiten zu bereits bekannter Malware auf. Eine Attribution wird vermieden.

Artikel veröffentlicht am ,
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst.
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst. (Bild: securelist.com/Screenshot: Golem.de)

Experten des Sicherheitsunternehmens Kaspersky haben nach eigenen Angaben Ähnlichkeiten mit früherer Malware im Code der Solarwinds-Attacke gefunden. Bei der Analyse der Sunburst-Backdoor sei eine Reihe von Funktionen entdeckt worden, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschnitten, teilte das Unternehmen am 11. Januar mit. Mehrere Ähnlichkeiten im Code deuteten "auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur".

Stellenmarkt
  1. Informatiker / Maschinenbauingenieur (m/w/d) Digital Manufacturing
    SKF GmbH, Schweinfurt
  2. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
Detailsuche

18.000 Unternehmen, Behörden und Organisationen sind weltweit potenziell mit einer trojanisierten Version der IT-Managementsoftware Orion von Solarwinds befallen. US-Sicherheitsdienste haben Russland als mutmaßlichen Urheber des Hackerangriffs bezeichnet. Ziel des Einbruchs in die Datennetze sei nach bisherigen Erkenntnissen das "Sammeln von Informationen" gewesen.

Laut Kaspersky wurde Kazuar erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Über Turla berichteten Kaspersky und Symantec erstmals auf der Black-Hat-Konferenz 2014 in Las Vegas. Die Angreifer hätten Hunderte Ziele in Regierungen und im Militär erfolgreich infiltriert.

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehörten der Generierungsalgorithmus für Opfer-IDs, der Aufweckalgorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut Kaspersky sind diese Codefragmente nicht 100-prozentig identisch. Das deute darauf hin, dass Kazuar und Sunburst verwandt sein könnten, auch wenn die Art dieser Beziehung noch nicht ganz klar sei.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Diese Ähnlichkeiten könnten darin begründet sein, dass Sunburst von derselben Gruppe wie Kazuar entwickelt wurde. Auch sei möglich, dass die Sunburst-Entwickler Kazuar als Vorlage verwendet hätten oder ein Kazuar-Entwickler zum Sunburst-Team gewechselt sei. Die beiden Gruppen hinter Sunburst und Kazuar könnten ihre Malware aber auch aus derselben Quelle bezogen haben. Zu guter Letzt könnte es sich um eine subtile Form einer False-Flag-Operation handeln, um die Urheberschaft für die Malware einer anderen Gruppe unterzuschieben.

"Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben", sagte der Analyst Costin Raiu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Wochenrückblick: Jetzt schlägt´s 11!
    Wochenrückblick
    Jetzt schlägt´s 11!

    Golem.de-Wochenrückblick Windows 11 ist der Name von Microsofts neuem Betriebssystem und die E3 ist zu Ende. Die Woche im Video.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. Aus dem Verlag: Zwei neue schnelle Golem-PCs verfügbar
    Aus dem Verlag
    Zwei neue schnelle Golem-PCs verfügbar

    Das Highend-Modell nutzt eine Radeon RX 6800 XT , beim Xtreme-Rechner wird ein 16-Core-Ryzen mit einer Geforce RTX 3080 Ti kombiniert.

Megusta 12. Jan 2021

Wer könnte das den sonst sein? Etwa der Chinese oder Iraner? Nein, nein, wir wollen das...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /