El malware utilizado para piratear Microsoft, la compañía de seguridad FireEye y al menos media docena de agencias federales tiene “similitudes interesantes” con el software malicioso que ha estado circulando desde al menos 2015, dijeron investigadores el lunes.
Sunburst es el nombre que los investigadores de seguridad le han dado al malware que infectó a unas 18.000 organizaciones cuando instalaron una actualización maliciosa para Orion, una herramienta de administración de red vendida por SolarWinds, con sede en Austin, Texas. Los atacantes desconocidos que colocaron Sunburst en Orion lo usaron para instalar malware adicional que se introdujo aún más en redes de interés seleccionadas. Con infecciones que afectaron a los Departamentos de Justicia, Comercio, Tesoro, Energía y Seguridad Nacional, la campaña de piratería se encuentra entre las peores en la historia moderna de Estados Unidos. La Agencia de Seguridad Nacional, el FBI y otras dos agencias federales dijeron la semana pasada que el gobierno ruso estaba “probablemente” detrás del ataque, que no comenzó después de octubre de 2019
Algo sospechoso
El lunes, investigadores de la empresa de seguridad Kaspersky Lab, con sede en Moscú, informaron de “similitudes curiosas” en el código de Sunburst y Kazuar, un malware que primero salió a la luz en 2017. Kazuar, dijeron entonces investigadores de la firma de seguridad Palo Alto Networks, se usó junto con herramientas conocidas de Turla, uno de los grupos de piratería informática más avanzados del mundo, cuyos miembros hablan ruso con fluidez.
en un informe publicado el lunes, Los investigadores de Kaspersky Labs dijeron que encontraron al menos tres similitudes en el código y las funciones de Sunburst y Kazuar. Son:
- El algoritmo utilizado para generar los identificadores únicos de víctimas.
- El algoritmo utilizado para hacer que el malware “duerma” o retrasar la acción, después de infectar una red, y
- Uso extensivo del FNV-1a algoritmo hash para ofuscar el código.
“Debe ser puntiagudo [out] que ninguno de estos fragmentos de código es 100% idéntico ”, escribieron los investigadores de Kaspersky Lab Gregory Kucherin, Igor Kuznetsov y Costin Raiu. “Sin embargo, son coincidencias curiosas, decir [the] menos. Una coincidencia no sería tan inusual, dos coincidencias definitivamente levantarían una ceja, mientras que tres de esas coincidencias son algo sospechosas para nosotros “.
La publicación del lunes advierte contra hacer demasiadas inferencias a partir de las similitudes. Podrían significar que Sunburst fue escrito por los mismos desarrolladores detrás de Kazuar, pero también podrían ser el resultado de un intento de engañar a los investigadores sobre los verdaderos orígenes del ataque a la cadena de suministro de SolarWinds, algo que los investigadores llaman una operación de bandera falsa.
Otras posibilidades incluyen un desarrollador que trabajó en Kazuar y luego se fue a trabajar para el grupo que creó Sunburst, los desarrolladores de Sunburst hicieron ingeniería inversa de Kazuar y lo usaron como inspiración, o los desarrolladores de Kazuar y Sunburst obtuvieron su malware de la misma fuente.
Los investigadores de Kaspersky Lab escribieron:
Por el momento, no sabemos cuál de estas opciones es verdadera. Si bien Kazuar y Sunburst pueden estar relacionados, la naturaleza de esta relación aún no está clara. A través de un análisis más detallado, es posible que surjan pruebas que confirmen uno o varios de estos puntos. Al mismo tiempo, también es posible que los desarrolladores de Sunburst fueran realmente buenos en su operación y no cometieran ningún error, siendo este enlace una falsa bandera elaborada. En cualquier caso, esta superposición no cambia mucho para los defensores. Los ataques a la cadena de suministro son algunos de los tipos de ataques más sofisticados en la actualidad y han sido utilizados con éxito en el pasado por grupos APT como Winnti / Barium / APT41 y varios grupos de ciberdelincuentes.
Los funcionarios e investigadores federales han dicho que podría llevar meses comprender el impacto total de la campaña de piratería durante meses. La publicación del lunes pidió a otros investigadores que analicen más a fondo las similitudes en busca de pistas adicionales sobre quién está detrás de los ataques.