Solarwinds: Kaspersky sieht Verbindung zwischen Sunburst und Kazuar

Der Code bei der Solarwinds-Attacke weist angeblich Ähnlichkeiten zu bereits bekannter Malware auf. Eine Attribution wird vermieden.

Artikel veröffentlicht am ,
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst.
Laut Kaspersky gibt es ähnlichen Code bei Kazuar (l.) und Sunburst. (Bild: securelist.com/Screenshot: Golem.de)

Experten des Sicherheitsunternehmens Kaspersky haben nach eigenen Angaben Ähnlichkeiten mit früherer Malware im Code der Solarwinds-Attacke gefunden. Bei der Analyse der Sunburst-Backdoor sei eine Reihe von Funktionen entdeckt worden, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschnitten, teilte das Unternehmen am 11. Januar mit. Mehrere Ähnlichkeiten im Code deuteten "auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur".

18.000 Unternehmen, Behörden und Organisationen sind weltweit potenziell mit einer trojanisierten Version der IT-Managementsoftware Orion von Solarwinds befallen. US-Sicherheitsdienste haben Russland als mutmaßlichen Urheber des Hackerangriffs bezeichnet. Ziel des Einbruchs in die Datennetze sei nach bisherigen Erkenntnissen das "Sammeln von Informationen" gewesen.

Laut Kaspersky wurde Kazuar erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Über Turla berichteten Kaspersky und Symantec erstmals auf der Black-Hat-Konferenz 2014 in Las Vegas. Die Angreifer hätten Hunderte Ziele in Regierungen und im Militär erfolgreich infiltriert.

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehörten der Generierungsalgorithmus für Opfer-IDs, der Aufweckalgorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut Kaspersky sind diese Codefragmente nicht 100-prozentig identisch. Das deute darauf hin, dass Kazuar und Sunburst verwandt sein könnten, auch wenn die Art dieser Beziehung noch nicht ganz klar sei.

Diese Ähnlichkeiten könnten darin begründet sein, dass Sunburst von derselben Gruppe wie Kazuar entwickelt wurde. Auch sei möglich, dass die Sunburst-Entwickler Kazuar als Vorlage verwendet hätten oder ein Kazuar-Entwickler zum Sunburst-Team gewechselt sei. Die beiden Gruppen hinter Sunburst und Kazuar könnten ihre Malware aber auch aus derselben Quelle bezogen haben. Zu guter Letzt könnte es sich um eine subtile Form einer False-Flag-Operation handeln, um die Urheberschaft für die Malware einer anderen Gruppe unterzuschieben.

"Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben", sagte der Analyst Costin Raiu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
VW ID.Buzz XL
Längerer Elektrobus mit mehr PS und Reichweite

Der ID.Buzz von VW kommt in einer XL-Version auf den Markt. Viele Neuerungen werden vom ID.7 übernommen.

VW ID.Buzz XL: Längerer Elektrobus mit mehr PS und Reichweite
Artikel
  1. Chipfabrik Magdeburg: Regierung streitet über Milliardenförderung für Intel
    Chipfabrik Magdeburg
    Regierung streitet über Milliardenförderung für Intel

    Angeblich verlangt Intel inzwischen eine staatliche Förderung von 10 Milliarden Euro. Doch Finanzminister Lindner soll noch blockieren.

  2. Microsoft Azure Cognitive Services: Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen
    Microsoft Azure Cognitive Services
    Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen

    Für maschinelles Sehen, Hören, Sprechen und Verstehen gibt es viele Einsatzmöglichkeiten. Wir erklären die Dienste von Microsoft und schauen dabei auch auf die Datensicherheit.
    Ein Deep Dive von Michael Bröde

  3. Arturia Microfreak 5.0: Mehr Synthesizer fürs Geld geht kaum
    Arturia Microfreak 5.0
    Mehr Synthesizer fürs Geld geht kaum

    Eines der besten Hardware-Musikinstrumente wird dank Firmware-Update noch besser. Das sind die größten Neuerungen beim Arturia Microfreak.
    Ein Hands-on von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Corsair Vengeance LPX DDR4-3600 16 GB 39,90€ und RGB PRO 49,90€ • Roccat Magma 33€ • MindStar: be quiet! Pure Base 500 FX 99,90€, ADATA LEGEND 710 2 TB 79€ • Alan Wake Remastered PS4 12,99€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury SSD 2 TB (PS5) 129,91€ • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /