Sunburst – Kaspersky identifie le chaînon manquant : les experts ont trouvé des liens entre l’attaque de SolarWinds et le backdoor Kazuar
janvier 2021 par Kaspersky
Le 13 décembre dernier, FireEye, Microsoft et SolarWinds découvraient dans leurs réseaux informatiques une attaque sophistiquée ciblant leur chaîne logistique. Cette attaque déployait alors un nouveau malware, jusqu’ici inconnu, « Sunburst », utilisé contre les clients informatiques d’Orion de SolarWinds. Les experts de Kaspersky ont trouvé diverses similitudes de code spécifiques entre Sunburst et des versions connues de la porte dérobée (backdoor) Kazuar - un type de malware qui permet d’accéder et de commander à distance la machine d’une victime. Ces nouvelles découvertes donnent des informations supplémentaires aux chercheurs, toujours en cours d’enquête sur l’attaque.
En étudiant la porte dérobée Sunburst, les experts de Kaspersky ont trouvé de nombreux points communs avec l’attaque de même type, identifiée précédemment, Kazuar, une backdoor développée utilisant la structure .NET et signalée pour la première fois par Palo Alto en 2017. Elle est depuis utilisée dans diverses campagnes de cyber-espionnage à travers le monde. Les multiples similitudes de code suggèrent un lien entre Kazuar et Sunburst, bien que la nature de celui-ci reste indéterminée.
Les similitudes entre Sunburst et Kazuar comprennent notamment l’algorithme de génération de l’identifiant utilisateur (UID) de la victime, l’algorithme de veille et l’utilisation extensive du hachage FNV-1a, une fonctionnalité simple, permettant notamment d’obscurcir les comparaisons de chaînes de caractères. Selon les experts, ces fragments de code ne sont pas identiques à 100%, ce qui suggère que Kazuar et Sunburst sont liés, même si lesdits liens ne sont pas encore tout à fait clairs.
Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst.
Dans l’ensemble, les experts ont observé, dans les différentes mutations de Kazuar des caractéristiques spécifiques ayant des similarités avec des échantillons de Sunburst. Ces points communs soulèvent différentes hypothèses pour expliquer ces similarités comme :
• L’origine commune de Sunburst et Kazuar qui auraient été créés par le même groupe,
• Le fait que les développeurs de Sunburst s’inspirent de Kazuar
• L’idée que l’un des développeurs de Kazuar ait rejoint l’équipe Sunburst,
• Ou encore le fait que les deux groupes à l’origine de Sunburst et Kazuar aient obtenu leurs logiciels malveillants de la même source.
« Les liens identifiés ne révèlent pas qui était derrière l’attaque de SolarWinds, mais ils fournissent davantage d’informations aidant les chercheurs à avancer dans leur enquête. Nous pensons qu’il est important que d’autres experts étudient ces similitudes et tentent d’en savoir davantage sur Kazuar et l’origine de Sunburst, le malware utilisé dans l’attaque de SolarWinds. Avec le recul d’expériences passées comparables, si l’on se penche par exemple sur l’attaque de WannaCry, nous n’avions que peu de données permettant de le relier au groupe Lazarus au début de l’enquête. Avec le temps, nous avons trouvé de nouvelles preuves qui nous ont permis, ainsi qu’à d’autres, d’identifier, avec certitude, l’origine de l’attaque. Il est donc crucial de poursuivre les recherches autour de cette attaque. », commente Costin Raiu, directeur du GReAT chez Kaspersky.
Pour éviter les risques d’être infecté par des logiciels malveillants tels que le « backdoor » ayant attaqué SolarWinds, Kaspersky recommande :
• Donner à l’équipe SOC l’accès aux dernières informations sur les menaces informatiques. Le portail Kaspersky Threat Intelligence Portal donne accès à plusieurs milliers de données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans à l’ensemble des équipes informatiques des entreprises. Sur ce lien, vous pouvez retrouver un accès gratuit à certaines fonctionnalités du portail qui permettent aux utilisateurs de vérifier des fichiers, des URLs et des adresses IP.
• Les entreprises qui souhaitent mener leurs propres enquêtes peuvent également utiliser le moteur d’attribution des menaces de Kaspersky : Kaspersky Threat Attribution Engine. Il compare les codes malveillants découverts aux bases de données de logiciels malveillants et, en fonction des similitudes entre les codes, les attribue aux campagnes APT déjà révélées.