SolarWinds Malware tiene conexiones «extrañas» con piratas informáticos de habla rusa


Una calavera estilizada hecha de unos y ceros.

El malware que se utilizó para piratear Microsoft, la compañía de seguridad FireEye y al menos media docena de agencias federales tiene «similitudes interesantes» con el software malicioso que existe desde al menos 2015, dijeron investigadores el lunes.

Sunburst es el nombre que los investigadores de seguridad le dieron al malware que infectó a alrededor de 18,000 empresas cuando instalaron una actualización maliciosa para Orion, una herramienta de administración de red vendida por SolarWinds de Austin, Texas. Los atacantes desconocidos que colocaron Sunburst en Orion instalaron malware adicional que se enterró aún más en redes de interés seleccionadas. Con infecciones que afectan a los departamentos de Justicia, Comercio, Tesoro, Energía y Seguridad Nacional, la campaña de piratería se encuentra entre las peores en la historia moderna de Estados Unidos. La Agencia de Seguridad Nacional, el FBI y otras dos agencias federales dijeron la semana pasada que el gobierno ruso estaba «probablemente» detrás del ataque, que comenzó a más tardar en octubre de 2019. Varias fuentes de noticias que citan a funcionarios anónimos informaron haber manipulado el trabajo del Kremlin SVR o el Servicio de Inteligencia Exterior, los investigadores continúan buscando pruebas que prueben o refuten definitivamente las declaraciones.

De alguna manera sospechoso

El lunes, investigadores de la empresa de seguridad Kaspersky Lab, con sede en Moscú, informaron «extrañas similitudes» en el código de Sunburst y Kazuar, un malware que salió a la luz por primera vez en 2017. Kazuar, investigador de la empresa de seguridad Palo Alto Networks, dijo que en ese momento se utiliza junto con herramientas conocidas de Turla, uno de los grupos de piratería informática más avanzados del mundo, cuyos miembros hablan ruso con fluidez.

En un informe publicado el lunes, los investigadores de Kaspersky Labs dijeron que encontraron al menos tres similitudes en el código y la funcionalidad de Sunburst y Kazuar. Usted está:

  • El algoritmo que se utiliza para generar los identificadores únicos de víctimas.
  • El algoritmo utilizado para hibernar o retrasar la acción del malware después de infectar una red
  • Uso extensivo del algoritmo hash FNV-1a para ofuscar código.

«Se debe señalar [out] que ninguno de estos fragmentos de código es 100% idéntico ”, escribieron los investigadores de Kaspersky Lab Gregory Kucherin, Igor Kuznetsov y Costin Raiu. «Aún así, son extrañas coincidencias [the] al menos. Una coincidencia no sería tan inusual, dos coincidencias definitivamente levantarían una ceja, mientras que tres de esas coincidencias de alguna manera nos resultan sospechosas. «

La publicación del lunes advierte contra sacar demasiadas conclusiones de las similitudes. Podrían significar que Sunburst fue escrito por los mismos desarrolladores detrás de Kazuar, pero también podrían ser el resultado de un intento de engañar a los investigadores sobre los verdaderos orígenes del ataque a la cadena de suministro de SolarWinds en lo que los investigadores llaman una operación de bandera falsa. .

Otras opciones incluyen un desarrollador que trabajó en Kazuar y luego trabajó para el grupo que creó Sunburst, los desarrolladores de Sunburst que aplicaron ingeniería inversa a Kazuar y lo usaron como inspiración, o desarrolladores de Kazuar y Sunburst que obtienen su malware de la misma fuente. .

Los investigadores de Kaspersky Lab escribieron:

Por el momento no sabemos cuál de estas opciones es verdadera. Aunque Kazuar y Sunburst pueden estar relacionados, la naturaleza de esa relación aún no está clara. Mediante un análisis más detallado, es posible que exista evidencia que confirme uno o más de estos puntos. Al mismo tiempo, también es posible que los desarrolladores de Sunburst fueran realmente buenos en su trabajo y no cometieran ningún error, siendo este enlace una falsa bandera elaborada. En cualquier caso, no hay muchos cambios sobre esta superposición para los defensores. Los ataques a la cadena de suministro son uno de los tipos de ataque más sofisticados en la actualidad y han sido utilizados con éxito en el pasado por grupos APT como Winnti / Barium / APT41 y varios ciberdelincuentes.

Los funcionarios e investigadores federales dijeron que podría llevar meses comprender todas las implicaciones de la campaña de piratería de un mes. La publicación del lunes instó a otros investigadores a analizar más a fondo las similitudes en busca de pistas adicionales sobre quién estaba detrás de los ataques.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *