COURS | GRAPHIQUES |
Le 13 décembre dernier, FireEye, Microsoft et SolarWinds découvraient dans leurs réseaux informatiques une attaque sophistiquée ciblant leur chaîne logistique. Cette attaque déployait alors un nouveau malware, jusqu'ici inconnu, " Sunburst ", utilisé contre les clients informatiques d'Orion de SolarWinds. Les experts de Kaspersky ont trouvé diverses similitudes de code spécifiques entre Sunburst et des versions connues de la porte dérobée (backdoor) Kazuar - un type de malware qui permet d'accéder et de commander à distance la machine d'une victime. Ces nouvelles découvertes donnent des informations supplémentaires aux chercheurs, toujours en cours d'enquête sur l'attaque.
En étudiant la porte dérobée Sunburst, les experts de Kaspersky ont trouvé de nombreux points communs avec l'attaque de même type, identifiée précédemment, Kazuar, une backdoor développée utilisant la structure .NET et signalée pour la première fois par Palo Alto en 2017. Elle est depuis utilisée dans diverses campagnes de cyber-espionnage à travers le monde. Les multiples similitudes de code suggèrent un lien entre Kazuar et Sunburst, bien que la nature de celui-ci reste indéterminée.
Les similitudes entre Sunburst et Kazuar comprennent notamment l'algorithme de génération de l'identifiant utilisateur (UID) de la victime, l'algorithme de veille et l'utilisation extensive du hachage FNV-1a, une fonctionnalité simple, permettant notamment d'obscurcir les comparaisons de chaînes de caractères. Selon les experts, ces fragments de code ne sont pas identiques à 100%, ce qui suggère que Kazuar et Sunburst sont liés, même si lesdits liens ne sont pas encore tout à fait clairs.
Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst.
Dans l'ensemble, les experts ont observé, dans les différentes mutations de Kazuar des caractéristiques spécifiques ayant des similarités avec des échantillons de Sunburst. Ces points communs soulèvent différentes hypothèses pour expliquer ces similarités comme :
" Les liens identifiés ne révèlent pas qui était derrière l'attaque de SolarWinds, mais ils fournissent davantage d'informations aidant les chercheurs à avancer dans leur enquête. Nous pensons qu'il est important que d'autres experts étudient ces similitudes et tentent d'en savoir davantage sur Kazuar et l'origine de Sunburst, le malware utilisé dans l'attaque de SolarWinds. Avec le recul d'expériences passées comparables, si l'on se penche par exemple sur l'attaque de WannaCry, nous n'avions que peu de données permettant de le relier au groupe Lazarus au début de l'enquête. Avec le temps, nous avons trouvé de nouvelles preuves qui nous ont permis, ainsi qu'à d'autres, d'identifier, avec certitude, l'origine de l'attaque. Il est donc crucial de poursuivre les recherches autour de cette attaque. ", commente Costin Raiu, directeur du GReAT chez Kaspersky.
Pour plus de détails techniques sur les similarités entre Sunburst et Kazuar analysées par les équipes de Kaspersky, consultez le rapport sur Securelist. Pour en savoir plus sur les recherches de Kaspersky sur Sunburst rendez-vous sur le site de Kaspersky. Pour en savoir plus sur la façon dont Kaspersky protège ses clients contre la porte dérobée Sunburst, cliquez ici.
Pour éviter les risques d'être infecté par des logiciels malveillants tels que le " backdoor " ayant attaqué SolarWinds, Kaspersky recommande :
Publié le 29/01/21 10:55
Pour poster un commentaire, merci de vous identifier.