Les chercheurs ont identifié certaines similitudes entre le malware Sunburst utilisé dans l’attaque de la chaîne d’approvisionnement SolarWinds et Kazuar, une porte dérobée qui semble avoir été utilisée par le groupe de cyberespionnage lié à la Russie connu sous le nom de Turla.

Des pirates informatiques soupçonnés d’opérer hors de Russie ont ciblé le fournisseur de solutions de gestion informatique basé au Texas, SolarWinds, dans le cadre d’une opération sophistiquée qui a permis aux attaquants de violer le système de centaines d’organisations de haut niveau.

Le groupe de menaces a utilisé des mises à jour trojanized pour le produit de surveillance Orion de SolarWinds pour livrer un logiciel malveillant nommé Sunburst. Cette porte dérobée a été envoyée à pas moins de 18 000 clients SolarWinds, mais quelques centaines d’organisations gouvernementales et du secteur privé ont également reçu des charges utiles secondaires qui ont permis aux attaquants d’accéder plus en profondeur à leurs réseaux.

Il y a eu de nombreuses questions sur qui est derrière l’attaque. Le gouvernement américain a officiellement déclaré qu’il s’agissait très probablement de la Russie et certains rapports non confirmés ont nommé le groupe de menace connu sous le nom d’APT29 et Cozy Bear.

Cependant, FireEye, l’une des cibles de l’attaque et la société qui a découvert et divulgué la brèche SolarWinds, suit le groupe sous le nom UNC2452 (système de dénomination pour les groupes sans catégorie). La société de renseignement sur les menaces et de réponse aux incidents Volexity, qui a observé les attaques lancées par le groupe des mois avant la découverte de l’incident SolarWinds, la traque sous le nom de Dark Halo. Cela indique qu’ils n’ont pas trouvé de liens clairs vers APT29 ou d’autres groupes connus.

Lundi, Kaspersky a signalé avoir trouvé un lien intéressant entre le malware Sunburst fourni par les attaquants de SolarWinds et Kazuar, une porte dérobée .NET qui existe depuis au moins 2015 et qui a été détaillée pour la première fois en 2017 par Palo Alto Networks.

Alors que l’attribution n’est souvent pas une tâche facile et si personne n’a définitivement lié Kazuar à un acteur de la menace connu, certaines preuves trouvées par …

Voir la source de cette publication