• IT-Karriere:
  • Services:

Solarwinds: Kaspersky sieht Verbindung zwischen Sunburst und Kazuar

Der Code bei der Solarwinds-Attacke weist angeblich Ähnlichkeiten zu bereits bekannter Malware auf. Eine Attribution wird vermieden.

Artikel veröffentlicht am ,
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst.
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst. (Bild: securelist.com/Screenshot: Golem.de)

Experten des Sicherheitsunternehmens Kaspersky haben nach eigenen Angaben Ähnlichkeiten mit früherer Malware im Code der Solarwinds-Attacke gefunden. Bei der Analyse der Sunburst-Backdoor sei eine Reihe von Funktionen entdeckt worden, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschnitten, teilte das Unternehmen am 11. Januar mit. Mehrere Ähnlichkeiten im Code deuteten "auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur".

Stellenmarkt
  1. über duerenhoff GmbH, Marburg
  2. HABA Group B.V. & Co. KG, Bad Rodach

18.000 Unternehmen, Behörden und Organisationen sind weltweit potenziell mit einer trojanisierten Version der IT-Managementsoftware Orion von Solarwinds befallen. US-Sicherheitsdienste haben Russland als mutmaßlichen Urheber des Hackerangriffs bezeichnet. Ziel des Einbruchs in die Datennetze sei nach bisherigen Erkenntnissen das "Sammeln von Informationen" gewesen.

Laut Kaspersky wurde Kazuar erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Über Turla berichteten Kaspersky und Symantec erstmals auf der Black-Hat-Konferenz 2014 in Las Vegas. Die Angreifer hätten Hunderte Ziele in Regierungen und im Militär erfolgreich infiltriert.

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehörten der Generierungsalgorithmus für Opfer-IDs, der Aufweckalgorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut Kaspersky sind diese Codefragmente nicht 100-prozentig identisch. Das deute darauf hin, dass Kazuar und Sunburst verwandt sein könnten, auch wenn die Art dieser Beziehung noch nicht ganz klar sei.

Diese Ähnlichkeiten könnten darin begründet sein, dass Sunburst von derselben Gruppe wie Kazuar entwickelt wurde. Auch sei möglich, dass die Sunburst-Entwickler Kazuar als Vorlage verwendet hätten oder ein Kazuar-Entwickler zum Sunburst-Team gewechselt sei. Die beiden Gruppen hinter Sunburst und Kazuar könnten ihre Malware aber auch aus derselben Quelle bezogen haben. Zu guter Letzt könnte es sich um eine subtile Form einer False-Flag-Operation handeln, um die Urheberschaft für die Malware einer anderen Gruppe unterzuschieben.

"Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben", sagte der Analyst Costin Raiu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 6,49€
  2. 8,49€
  3. 2,50€

Megusta 12. Jan 2021 / Themenstart

Wer könnte das den sonst sein? Etwa der Chinese oder Iraner? Nein, nein, wir wollen das...

Kommentieren


Folgen Sie uns
       


Watch Dogs Legion - Raytracing im Vergleich

Wir zeigen die Auswirkungen von Raytracing-Spiegelungen im integrierten Benchmark von Watch Dogs Legion. Dort wie im Spiel reflektieren Wasserfläche, etwa Pfützen, sowie Glas und Metall - also Fenster oder Fahrzeuge - die Umgebung dynamisch in Echtzeit.

Watch Dogs Legion - Raytracing im Vergleich Video aufrufen
    •  /