Sunburst et SolarWinds : des chercheurs établissent un lien avec la porte dérobée Kazuar

11 janvier 2021 à 19h15
3
© Pixabay

Les chercheurs en sécurité de Kaspersky ont trouvé des similitudes entre l'attaque et le programme backdoor Kazuar, qui serait assimilé à la Russie.

Certains en subissent encore les dégâts. Le 13 décembre dernier, l'éditeur de solutions de cybersécurité FireEye, le géant Microsoft et le fournisseur de logiciels SolarWinds annonçaient avoir découvert un malware des plus complexes, alors totalement inconnu. Baptisé "Sunburst", le cheval de Troie avait frappé 18 000 des 33 000 clients de la plateforme Orion de SolarWinds, notamment utilisée par les services gouvernementaux américains. L'un des grands noms de la cybersécurité, Kaspersky, a fait de grandes avancées en identifiant le chaînon manquant qui rattacherait l'attaque à la Russie.

Un lien avec une porte dérobée identifiée en 2017

Les chercheurs de Kasperksy ont annoncé, lundi 11 janvier, avoir trouvé certaines similitudes de code spécifiques entre le malware Sunburst et des versions plus connues de Kazuar, une porte dérobée (ou backdoor) assimilée à des pirates - présumés - russes.

Cette porte dérobée, qui se base sur la structure Microsoft .NET, fut signalée pour la première fois par les spécialistes cyber de l'Unité 42 de Palo Alto Networks, en 2017. À l'époque, les chercheurs l'avaient définie comme un trojan de porte dérobée depuis utilisée partout dans le monde dans des campagnes d'espionnage informatique.

Si Kaspersky affirme ignorer, pour l'heure, la nature du lien entre Kazuar et Sunburst, l'entreprise est formelle : les similitudes de code sont bien réelles.

Plusieurs points communs entre Sunburst et le "suspect"

Les liens décelés entre Kazuar et Sunburst concernent notamment l'UID, l'algorithme de génération de l'identifiant utilisateur de la victime, mais aussi l'algorithme de veille et l'utilisation extensive du hachage FNV-1a. Cette dernière fonctionnalité permet "d'obscurcir les comparaisons de chaînes de caractères."

Les fragments de code identifiés ne sont pas tout à fait similaires à 100%, indique Kaspersky, mais l'entreprise cyber suggère bien que Kazuar et Sunburst sont liés. "Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst", explique l'entreprise russe.

Kaspersky a relevé plusieurs points communs entre les mutations de Kazuar et les échantillons de Sunburst, comme leur origine commune (le groupe Turla, affilié à la Russie si l'on en croit les autorités estoniennes) ; le fait que les développeurs de Sunburst s'inspirent de Kazuar ; ou celui que les malwares des deux groupes proviennent de la même source.

Costin Raiu, directeur du GReAT chez Kaspersky, conseille de "poursuivre les recherches autour de cette attaque", pour intensifier la collecte d'informations. Le chercheur appelle d'ailleurs d'autres experts à se pencher sur l'attaque de SolarWinds.

Source : communiqué de presse

Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
3
4
Voir tous les messages sur le forum

Actualités récentes

Kodi 19.x
Déjà arrêté en Europe, LG pourrait abandonner le smartphone dans le monde entier
Lisa Su, P.-D.G. d'AMD, est ravie de la très forte demande de PS5 et Xbox Series
Vous pouvez utiliser l'overlay de Discord en jeu
Brave est le premier navigateur à intégrer nativement IFPS, le HTTP pair-à-pair du futur
Plus de 30% de réduction sur cette caméra Xiaomi Mi Home Camera pour les Soldes Cdiscount
Soldes 2021 : les meilleurs bons plans et promos high-tech en DIRECT
Soldes Boulanger : l'excellent aspirateur iRobot Roomba 675 à moins de 200€
NVIDIA Shield TV : la dernière mise à jour pense notamment aux manettes de PS5 et Xbox One Series X/S
Soldes : très belle promotion sur cette TV OLED LG 55 pouces !
Haut de page