Sicher & Anonym, Tipp des Tages

SolarWinds-Hack: Code-Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor entdeckt

Mitte Dezember 2020 wurde der hoch komplexe Supply-Chain-Angriff mit der bisher unbekannten Malware „Sunburst“ öffentlich

Die neue Malware Sunburst weist starke Ähnlichkeiten zu Kazuar auf - Experten forschen weiter und fordern KollegInnen auf, nach dem Ursprung der beiden Backdoor-Malwares zu gehen.
Foto: Gerd Altmann / Pixabay

Sunburst und die bekanntere Backdoor-Malware Kazuar ermöglichen einen Fernzugriff auf den Computer eines Opfers. Die neuen Erkenntnisse über die Ähnlichkeit dieser beiden Angriffsvarianten können IT-Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen.

Schon im vergangenen Dezember gaben FireEye, Microsoft und SolarWinds die Entdeckung des Supply-Chain-Angriffs bekann. Die bislang unbekannte Malware Sunburst richtet sich gegen Kunden von SolarWinds Orion.

So agieren Sunburst und Kazuar

Bei der Analyse der Sunburst-Backdoor entdeckten die Sicherheitsforscher von Kaspersky eine Reihe von Funktionen, die sich mit denen der im .NET Framework geschriebenen Backdoor Kazuar überschneiden. Kazuar wurde erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Mehrere Ähnlichkeiten im Code deuten auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur.

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar gehören der UID-(User Idenitifier), Generierungsalgorithmus, der Sleep-Algorithmus und die umfassende Verwendung des FNV1a-Hashs. Laut den Experten sind diese Code-Fragmente nicht zu 100 Prozent identisch, was darauf hindeutet, dass Kazuar und Sunburst verwandt sein könnten. Die Art dieser Beziehung ist aber noch nicht ganz klar ist. Nachdem die Sunburst-Malware erstmalig im Februar 2020 bereitgestellt wurde, wurde auch Kazuar weiterentwickelt. Die späteren Varianten von Kazuar ähneln Sunburst daher in einiger Punkten noch mehr.

Kontinuität der Kazuar-Entwicklung – Ursprung für Sunburst?

Über die Jahre der Kazuar-Entwicklung hinweg konnten die Experten von Kaspersky eine kontinuierliche Weiterentwicklung feststellen, bei der bedeutende Funktionen hinzugefügt wurden, die Sunburst ähneln. Diese Ähnlichkeiten können unterschiedliche Gründe haben:

1. Sunburst ist von derselben Gruppe wie Kazuar entwickelt worden

2. Die Sunburst-Entwickler haben Kazuar als Vorlage verwendet

3. Ein Kazuar-Entwickler hat zum Sunburst-Team gewechselt

4. Die beiden Gruppen hinter Sunburst und Kazuar haben ihre Malware jeweils aus derselben Quelle bezogen

Hinweise über Hinweise

„Die gefundene Verbindung verrät nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen können, diese Analyse weiter voranzutreiben“, erklärt Costin Raiu, Leiter des Global Research and Analysis Teams (GReAT) bei Kaspersky. „Wir sind davon überzeugt, dass es wichtig ist, dass auch andere Forscher weltweit diese Ähnlichkeiten untersuchen, und versuchen, mehr über Kazuar und den Ursprung der Sunburst-Malware, die gegen Solarwinds eingesetzt wurde, herauszufinden. Beim WannaCry-Angriff beispielsweise gab es in den ersten Tagen nur sehr wenige Fakten, die diesen mit der Lazarus-Gruppe in Verbindung brachten. Mit der Zeit fanden wir jedoch weitere Beweise, die es uns und anderen erlaubten, sie mit hoher Wahrscheinlichkeit miteinander in Verbindung zu bringen. Weitere Analysen zu solchen Angriffen sind entscheidend, um ein umfassenderes Bild zu erhalten.“

Weitere Analyseergebnisse zu den Ähnlichkeiten von Solarwinds und Kazuar sind auf Securelist verfügbar.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben