Posté le janvier 12, 2021 à 17:01
LES CHERCHEURS FONT LE LIEN ENTRE LA PORTE DEROBÉE KAZUAR ET LE LOGICIEL MALVEILLANT SUNBURST
Le mois dernier, SolarWinds, Microsoft et FireEye ont fait une annonce commune, faisant état de la découverte d’une nouvelle souche de logiciel malveillant connue sous le nom de Sunburst contre les clients informatiques d’Orion de SolarWinds.
Cependant, les chercheurs en sécurité de Kaspersky ont fait des progrès pour trouver des liens avec ce logiciel malveillant. L’équipe de recherche a découvert diverses similitudes de code spécifiques entre les portes dérobées Kazuar et le logiciel malveillant Sunburst.
Cette découverte pourrait fournir davantage d’informations aux chercheurs en sécurité et aux agences de sécurité pour une enquête plus approfondie.
La porte dérobée Kazuar était auparavant liée à des hackers russes après la découverte lors d’une enquête menée par les forces de l’ordre américaines.
Les rapports sur la violation de l’Orion de SolarWinds ont révélé que l’incident avait touché plus de 18 000 organisations avant les attaques ultérieures contre les agences gouvernementales.
Les principaux organes de presse comme le Washington Post ont rapporté que les auteurs de l’incident de piratage sont probablement issus du groupe russe APT connu sous le nom de Cozy Bear ou APT29. Cependant, le gouvernement russe a nié avoir un quelconque rapport avec l’attaque.
Caractéristiques en commun entre Kazuar et Sunburst
Les chercheurs en sécurité de Kaspersky ont déclaré qu’ils ont trouvé plusieurs caractéristiques qui se chevauchent entre le logiciel malveillant Sunburst et la porte dérobée Kazuar. Kazuar est un logiciel malveillant basé sur .NET, découvert pour la première fois en 2017 par Palo Alto.
Le logiciel malveillant Sunburst était connu pour son efficacité et son niveau de piratage, car les acteurs malveillants ont profité de la confiance liée au logiciel SolarWinds Orion pour pirater des institutions gouvernementales et d’autres organisations.
Auparavant, les chercheurs et les autres agences de sécurité avaient du mal à attribuer la violation de la chaîne logistique de SolarWinds à un quelconque module d’attaque antérieur.
Les chercheurs n’ont trouvé aucun indice permettant de relier l’infrastructure utilisée avec les campagnes de logiciels malveillants passées.
Mais la dernière découverte a montré que le logiciel malveillant partageait certaines caractéristiques avec Kazuar. Les chercheurs ont découvert qu’un groupe de menace a développé à la fois Kazuar et Sunburst.
En outre, le groupe à l’origine de Sunburst (Dark Halo) et Kazuar (Turla) a obtenu le logiciel malveillant d’une seule source. Les créateurs de Sunburst ont également utilisé plusieurs faux liens pour détourner l’attention vers d’autres groupes malveillants.
Les deux familles de logiciels malveillants ont utilisé un algorithme de veille pour ne pas être détectées lors de la connexion à un serveur C2.
Mais alors que Sunburst choisit au hasard une période de sommeil pouvant aller jusqu’à deux semaines avant d’atteindre le serveur pour une première exploration, le logiciel malveillant Kazuar prend jusqu’à quatre semaines entre les connexions C2.
Cependant, les chercheurs ont révélé que les deux versions du logiciel malveillant utilisaient la même formule pour calculer le temps de sommeil.
Les liens entre Kazuar et Turla
Kazuar est une porte dérobée complète écrite avec le .NET Framework. Elle utilise le système de commande et de contrôle (C2) pour permettre aux acteurs malveillants de se connecter au système compromis.
Comme d’autres fonctions de logiciels malveillants, ses caractéristiques permettent la capture de captures d’écran, la prise en charge de l’exécution de commandes malveillantes et la libération de fonctionnalités supplémentaires par le biais d’une commande de plugin.
L’équipe de l’unité de Palo Alto qui a relié le logiciel malveillant au groupe russe Turla a basé ses conclusions sur la « lignée de code » qui remonte à 2005.
En outre, les développeurs du logiciel malveillant Kazuar l’ont remanié en mettant à jour ses fonctions de vol de mots de passe et d’enregistreur de frappe. Cela s’ajoute à la porte dérobée qui est exécutée sous la forme d’une commande de serveur C2.
Bien qu’il ne soit pas rare que les acteurs malveillant mettent à jour ou redessinent leur logiciel malveillant pour échapper à la détection, les chercheurs de Kaspesky ont déclaré que la récente refonte de Kazuar pourrait être liée au piratage de SolarWinds.
Les développeurs du code de Kazuar ont peut-être soupçonné que l’attaque de SolarWinds pouvait être tracée et ont décidé de modifier ses algorithmes pour rester sous le radar.
La nouvelle découverte permettra de poursuivre les enquêtes
La semaine dernière, les agences de sécurité américaines, dont la NSA (National Security Agency) et le FBI (Federal Bureau of Investigations) ont publié une déclaration commune, informant le public que les hackers sponsorisés par l’État russe sont probablement responsables du piratage de SolarWinds.
De plus, la CISA (Agence américaine de cybersécurité et de sécurité des infrastructures) a publié une mise à jour concernant l’attaque de logiciels malveillants sur SolarWinds. L’agence a déclaré que l’enquête a montré que l’accès initial a été obtenu par pulvérisation de mots de passe (password spraying ou par devinette de mots de passe).
M. Kaspersky a ajouté que la nouvelle découverte concernant la similitude entre les deux codes de logiciels malveillants est le premier lien potentiel avec la famille de logiciels malveillants. Avec cette découverte, il sera beaucoup plus facile de trouver plus d’informations sur le logiciel malveillant et sur la meilleure façon de protéger les systèmes contre son exploitation, ont répété les chercheurs.
