Les chercheurs de Kaspersky ont découvert que la porte dérobée Sunburst, le logiciel malveillant déployé lors de l’attaque de la chaîne d’approvisionnement de SolarWinds, montre des chevauchements de fonctionnalités avec Kazuar, une porte dérobée .NET provisoirement liée au groupe de piratage russe Turla.

Turla (alias VENOMOUS BEAR et Waterbug) coordonne des campagnes de vol d’informations et d’espionnage depuis 1996 et est le principal suspect des attaques visant le Pentagone et la NASA, le Commandement central américain et le ministère finlandais des Affaires étrangères.

Kazuar est l’un des outils utilisés lors des opérations précédentes de Turla et, selon Kaspersky, il partage plusieurs de ses fonctionnalités avec le malware créé par le groupe à l’origine du piratage SolarWinds (suivi sous les noms UNC2452 et DarkHalo).

Il y a une semaine, le FBI, la CISA et la NSA ont également déclaré qu’un groupe APT (Advanced Persistent Threat) soutenu par la Russie était probablement derrière le piratage de SolarWinds.

Similitudes de code

Des échantillons de la porte dérobée de Kazuar découverts dans la nature depuis février 2020, lorsque Sunburst a été déployé pour la première fois, ont été continuellement modifiés, les similitudes se creusant vers novembre 2020, mais, pour le moment, le lien entre les deux n’est pas encore connu.

Les fonctionnalités qui se chevauchent à la fois dans Kazuar et Sunburst incluent l’algorithme utilisé pour générer les UID de la victime (identificateurs uniques), l’utilisation intensive du hachage FNV-1a dans tout le malware et l’algorithme de veille utilisé par les deux portes dérobées.

Kaspersky souligne également que, malgré les similitudes, les algorithmes utilisés pour implémenter ces fonctionnalités qui se chevauchent ne sont toujours pas identiques à 100% qui fait allusion à une relation potentielle entre les deux souches de logiciels malveillants et leurs développeurs, bien que «la nature de cette relation ne soit pas encore tout à fait claire».

Les parties de code qui révèlent le chevauchement des fonctionnalités montrent en outre qu ‘«une sorte de processus de pensée similaire est entré dans le développement de Kazuar et Sunburst».

Certaines des explications à ces …