Schon im vergangenen Dezember gaben FireEye, Microsoft und SolarWinds die Entdeckung des Supply-Chain-Angriffs bekann. Die bislang unbekannte Malware Sunburst richtet sich gegen Kunden von SolarWinds Orion.
So agieren Sunburst und Kazuar
Bei der Analyse der Sunburst-Backdoor entdeckten die Sicherheitsforscher von Kaspersky eine Reihe von Funktionen, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschneiden. Kazuar wurde erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Mehrere Ähnlichkeiten im Code deuten auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur.
Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehören der UID-(User Idenitifier), Generierungsalgorithmus, der Sleep-Algorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut den Experten sind diese Code-Fragmente nicht zu 100 Prozent identisch, was darauf hindeutet, dass Kazuar und Sunburst verwandt sein könnten. Die Art dieser Beziehung ist aber noch nicht ganz klar ist. Nachdem die Sunburst-Malware erstmalig im Februar 2020 bereitgestellt wurde, wurde auch Kazuar weiterentwickelt. Die späteren Varianten von Kazuar ähneln Sunburst daher in einiger Punkten noch mehr.
Kontinuität der Kazuar-Entwicklung – Ursprung für Sunburst?
Über die Jahre der Kazuar-Entwicklung hinweg konnten die Experten von Kaspersky eine kontinuierliche Weiterentwicklung feststellen, bei der bedeutende Funktionen hinzugefügt wurden, die Sunburst ähneln. Diese Ähnlichkeiten können unterschiedliche Gründe haben:
1. Sunburst ist von derselben Gruppe wie Kazuar entwickelt worden
2. Die Sunburst-Entwickler haben Kazuar als Vorlage verwendet
3. Ein Kazuar-Entwickler hat zum Sunburst-Team gewechselt
4. Die beiden Gruppen hinter Sunburst und Kazuar haben ihre Malware jeweils aus derselben Quelle bezogen
Hinweise über Hinweise
„Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben“, erklärt Costin Raiu, Leiter des Global Research and Analysis Teams (GReAT) bei Kaspersky. „Wir sind davon überzeugt, dass es wichtig ist, dass auch andere Forscher weltweit diese Ähnlichkeiten untersuchen, und versuchen, mehr über Kazuar und den Ursprung der Sunburst-Malware, die gegen Solarwinds eingesetzt wurde, herauszufinden. Beim WannaCry-Angriff beispielsweise gab es in den ersten Tagen nur sehr wenige Fakten, die diesen mit der Lazarus-Gruppe in Verbindung brachten. Mit der Zeit fanden wir jedoch weitere Beweise, die es uns und anderen erlaubten, sie mit hoher Wahrscheinlichkeit miteinander in Verbindung zu bringen. Weitere Analysen zu solchen Angriffen sind entscheidend, um ein umfassenderes Bild zu erhalten.“