实锤了?SolarWinds攻击者与俄罗斯黑客组织存在关联信息

安全 应用安全
周一,卡巴斯基报道称,在SolarWinds攻击者投放的Sunburst恶意软件与Kazuar之间发现了“有趣”的关联。

关于SolarWinds供应链攻击的归因工作牵动着全球安全界的注意力。此前,美国政府多位官员声称攻击者很可能是俄罗斯,一些未经证实的报道称该威胁组织为APT29和Cozy Bear。但是都没有公布确凿的或者详细的证据。

[[375331]]

周一,卡巴斯基报道(https://securelist.com/sunburst-backdoor-kazuar/99981/)称,在SolarWinds攻击者投放的Sunburst恶意软件与Kazuar之间发现了“有趣”的关联。“Sunburst和Kazuar的各代人的几个代码片段非常相似。我们应该指出,尽管类似,但这些代码块(例如UID计算子例程和FNV-1a哈希算法的用法以及睡眠循环)仍然不是100%相同。”

Kazuar是自2015年以来始终活跃的.NET后门程序,2017年由Palo Alto Networks首次详细介绍。

虽然还没有人明确地将Kazuar与已知的威胁行为者联系起来,但是Palo Alto Networks在有关Kazuar的初次报告时发现的一些证据表明,Turla可能已经使用了它,后者是与俄罗斯有关联的一个臭名昭著的网络间谍组织,在过去的14年中攻击了许多政府组织。

根据卡巴斯基的说法,过去几年中,Kazuar与其他Turla工具多次被发现相同漏洞。Turla黑客可能已经将Kazuar用作第二阶段的后门程序。

卡巴斯基指出,目前发现的关联信息尚不足以确认攻击者,大致存在几种可能:

  • Sunburst和Kazuar可能是同一个小组开发的,但是Sunburst的开发人员也可能只使用了Kazuar的一些代码或构想,未必存在直接关联。
  • SolarWinds攻击者和使用Kazuar的小组都可能从相同的来源获取了代码。
  • Kazuar的开发人员也可能出于某种原因转移到Sunburst团队。
  • Sunburst和Kazuar之间的相似之处只是一个伪装信号,用来误导调查人员。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2014-07-17 15:51:07

2021-01-06 15:51:37

网络攻击恶意软件网络安全

2020-10-22 07:58:31

黑客组织勒索软件网络攻击

2022-05-07 13:53:05

黑客网络攻击

2021-04-20 12:36:33

攻击漏洞黑客

2021-07-08 10:33:25

勒索软件攻击数据泄露

2022-03-18 21:38:59

黑客网络攻击

2022-08-17 09:15:23

威胁情报黑客

2020-05-14 18:50:35

Chrome漏洞浏览器

2021-01-08 15:15:57

黑客网络安全网络攻击

2020-07-17 16:21:34

黑客新冠疫苗网络攻击

2012-07-26 09:36:32

2021-07-07 11:03:25

黑客网络安全网络攻击

2020-07-17 11:29:17

黑客新冠疫苗恶意软件

2024-04-18 15:53:53

2022-02-25 16:55:53

黑客网络战争攻击

2015-09-02 11:57:56

2014-07-21 15:46:12

2021-06-01 09:42:16

SolarWinds网络攻击Nobelium

2022-07-03 07:20:32

网络攻击黑客
点赞
收藏

51CTO技术栈公众号