Nem volt előzmény nélküli a Sunburst

​A Kaspersky szakemberei többféle kódolási hasonlóságot találtak a Sunburst és a Kazuar károkozók között, azonban még mindig rengeteg a nyitott kérdés.
 

A Sunburst által használt hátsó kapu tanulmányozása közben a Kaspersky szakemberei több olyan jellemzőt is felfedeztek, amelyek átfedéseket mutatnak a - korábban .NET keretrendszer használatával létrehozott, hátsó kapuként azonosított - Kazuarral.
 
A már világszerte detektált Kazuarról először a Palo Alto számolt be 2017-ben. A kódban felfedezett többféle hasonlóság arra enged következtetni, hogy kapcsolat van a Kazuar és a Sunburst között, bár a kapcsolat pontos jellegét még nem sikerült meghatározni.
 
A Sunburst és a Kazuar közötti átfedések közé tartozik többek között az áldozat felhasználói azonosítójának generálására szolgáló algoritmus, egyes algoritmuskódolási sajátosságok, valamint az FNV1a hash-elés használata. A szakemberek szerint elképzelhető, hogy a Sunburstöt a Kazuar 2019 végén készült verziója alapján hozták létre.
 
"A felfedezett kapcsolatból nem derül ki, hogy ki állt a SolarWinds-et érő támadás mögött, azonban olyan meglátásokkal szolgál, amelyek segítségével a kutatók előbbre juthatnak a vizsgálatban. Véleményünk szerint fontos, hogy világszerte más kutatók is megvizsgálják ezeket a hasonlóságokat, és több tényt próbáljanak meg feltárni a Kazuar kapcsán, valamint a Sunburst malware eredetéről. Például a Wannacry támadásra visszatekintve, az elején nagyon kevés tény utalt a Lazarus csoporttal fennálló kapcsolatra. Idővel azonban több bizonyíték került elő, amelyek alapján mi is és mások is nagy magabiztossággal következtethetünk a kapcsolatra. Nagyon fontos további kutatásokat folytatni a témában, hogy összeköthessük a pontokat" - fejtette ki Costin Raiu, a Kaspersky globális kutató és elemző csapatának igazgatója.