Solarwinds: Kaspersky sieht Verbindung zwischen Sunburst und Kazuar

Der Code bei der Solarwinds-Attacke weist angeblich Ähnlichkeiten zu bereits bekannter Malware auf. Eine Attribution wird vermieden.

Artikel veröffentlicht am ,
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst.
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst. (Bild: securelist.com/Screenshot: Golem.de)

Experten des Sicherheitsunternehmens Kaspersky haben nach eigenen Angaben Ähnlichkeiten mit früherer Malware im Code der Solarwinds-Attacke gefunden. Bei der Analyse der Sunburst-Backdoor sei eine Reihe von Funktionen entdeckt worden, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschnitten, teilte das Unternehmen am 11. Januar mit. Mehrere Ähnlichkeiten im Code deuteten "auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur".

Stellenmarkt
  1. Sachbearbeiterin / Sachbearbeiter (w/m/d) im Bereich PC-Konfiguration der Polizei
    Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. (Senior) Strategic Workforce Planner - Shared Services (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim
Detailsuche

18.000 Unternehmen, Behörden und Organisationen sind weltweit potenziell mit einer trojanisierten Version der IT-Managementsoftware Orion von Solarwinds befallen. US-Sicherheitsdienste haben Russland als mutmaßlichen Urheber des Hackerangriffs bezeichnet. Ziel des Einbruchs in die Datennetze sei nach bisherigen Erkenntnissen das "Sammeln von Informationen" gewesen.

Laut Kaspersky wurde Kazuar erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Über Turla berichteten Kaspersky und Symantec erstmals auf der Black-Hat-Konferenz 2014 in Las Vegas. Die Angreifer hätten Hunderte Ziele in Regierungen und im Militär erfolgreich infiltriert.

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehörten der Generierungsalgorithmus für Opfer-IDs, der Aufweckalgorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut Kaspersky sind diese Codefragmente nicht 100-prozentig identisch. Das deute darauf hin, dass Kazuar und Sunburst verwandt sein könnten, auch wenn die Art dieser Beziehung noch nicht ganz klar sei.

Golem Karrierewelt
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Diese Ähnlichkeiten könnten darin begründet sein, dass Sunburst von derselben Gruppe wie Kazuar entwickelt wurde. Auch sei möglich, dass die Sunburst-Entwickler Kazuar als Vorlage verwendet hätten oder ein Kazuar-Entwickler zum Sunburst-Team gewechselt sei. Die beiden Gruppen hinter Sunburst und Kazuar könnten ihre Malware aber auch aus derselben Quelle bezogen haben. Zu guter Letzt könnte es sich um eine subtile Form einer False-Flag-Operation handeln, um die Urheberschaft für die Malware einer anderen Gruppe unterzuschieben.

"Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben", sagte der Analyst Costin Raiu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Pokémon Go: Niantic entwickelt eigenes soziales Netzwerk
    Pokémon Go
    Niantic entwickelt eigenes soziales Netzwerk

    Unter dem Namen Campfire arbeitet Niantic an einem sozialen Netzwerk, in dem sich die Spieler von Pokémon Go treffen können.

  3. Einrichtungshäuser: Ikea führt Shop&Go per App im Laden ein
    Einrichtungshäuser
    Ikea führt Shop&Go per App im Laden ein

    Mit der Ikea-App können Kunden mit ihrem Smartphone in den Läden die Produkte einscannen und bargeldlos bezahlen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /