Sunburst et SolarWinds : des chercheurs établissent un lien avec la porte dérobée Kazuar

11 janvier 2021 à 19h15
3
attaque-informatique-piratage.jpg © Pixabay
© Pixabay

Les chercheurs en sécurité de Kaspersky ont trouvé des similitudes entre l'attaque et le programme backdoor Kazuar, qui serait assimilé à la Russie.

Certains en subissent encore les dégâts. Le 13 décembre dernier, l'éditeur de solutions de cybersécurité FireEye, le géant Microsoft et le fournisseur de logiciels SolarWinds annonçaient avoir découvert un malware des plus complexes, alors totalement inconnu. Baptisé "Sunburst", le cheval de Troie avait frappé 18 000 des 33 000 clients de la plateforme Orion de SolarWinds , notamment utilisée par les services gouvernementaux américains. L'un des grands noms de la cybersécurité, Kaspersky, a fait de grandes avancées en identifiant le chaînon manquant qui rattacherait l'attaque à la Russie.

Un lien avec une porte dérobée identifiée en 2017

Les chercheurs de Kasperksy ont annoncé, lundi 11 janvier, avoir trouvé certaines similitudes de code spécifiques entre le malware Sunburst et des versions plus connues de Kazuar, une porte dérobée (ou backdoor) assimilée à des pirates - présumés - russes.

Cette porte dérobée, qui se base sur la structure Microsoft .NET, fut signalée pour la première fois par les spécialistes cyber de l'Unité 42 de Palo Alto Networks, en 2017. À l'époque, les chercheurs l'avaient définie comme un trojan de porte dérobée depuis utilisée partout dans le monde dans des campagnes d'espionnage informatique.

Si Kaspersky affirme ignorer, pour l'heure, la nature du lien entre Kazuar et Sunburst, l'entreprise est formelle : les similitudes de code sont bien réelles.

Plusieurs points communs entre Sunburst et le "suspect"

Les liens décelés entre Kazuar et Sunburst concernent notamment l'UID, l'algorithme de génération de l'identifiant utilisateur de la victime, mais aussi l'algorithme de veille et l'utilisation extensive du hachage FNV-1a. Cette dernière fonctionnalité permet "d'obscurcir les comparaisons de chaînes de caractères."

Les fragments de code identifiés ne sont pas tout à fait similaires à 100%, indique Kaspersky, mais l'entreprise cyber suggère bien que Kazuar et Sunburst sont liés. "Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst", explique l'entreprise russe.

Kaspersky a relevé plusieurs points communs entre les mutations de Kazuar et les échantillons de Sunburst, comme leur origine commune (le groupe Turla, affilié à la Russie si l'on en croit les autorités estoniennes) ; le fait que les développeurs de Sunburst s'inspirent de Kazuar ; ou celui que les malwares des deux groupes proviennent de la même source.

Costin Raiu, directeur du GReAT chez Kaspersky, conseille de "poursuivre les recherches autour de cette attaque", pour intensifier la collecte d'informations. Le chercheur appelle d'ailleurs d'autres experts à se pencher sur l'attaque de SolarWinds.

Source : communiqué de presse

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
cirdan
Kaspersky qui suspecte ouvertement la Russie. Hum… Il va falloir y aller mollo sur le thé maintenant pour les employés.
jardinero
Les nouvelles sont rares de Russie, ils ne restent pourtant pas sans rien faire.
BBlake
Haaaa la Russie et la Chine, les deux pires ennemies de la sécurité informatique x)
Voir tous les messages sur le forum

Derniers actualités

Faites des économies sur votre forfait mobile avec cette offre B&You 🔥
Chez Facebook, les prestataires perdent leur contrat sur un pile ou face
Vous avez besoin d'un nouvel aspirateur ? Le Dyson V8 est à prix cassé chez Boulanger !
Le van électrique ID.Buzz de Volkswagen se vend presque trop bien
Alerte vie privée : le navigateur intégré à l'app TikTok enregistre les saisies clavier et les clics
Samsung va mettre un très grand lecteur d'empreintes sous l'écran de son Galaxy S23 Ultra
On est vraiment plus serein en ligne grâce à l'excellente suite antivirus Norton 360 Deluxe
Cette TV LG OLED voit son prix drastiquement chuter !
Le prix de cet écran gamer LG n'aura jamais été aussi bas 🔥
Améliorez votre setup bureau avec ce pack Logitech à prix réduit !
Haut de page