SolarWinds供应链攻击的归因引起了全球安全界的关注。此前,多名美国政府官员称袭击者很可能是俄罗斯,一些未经证实的报道称该威胁组织为APT29和CozyBear。但尚未公布确凿或详细的证据。周一,卡巴斯基报告(https://securelist.com/sunburst-backdoor-kazuar/99981/)在SolarWinds攻击者提供的Sunburst恶意软件和Kazuar之间发现了“有趣”的相关性。“Sunburst和Kazuar各代的几个代码片段非常相似。我们应该指出,虽然相似,但这些代码块(例如UID计算子程序和FNV-1a哈希算法和睡眠循环的使用)仍然不是100%相同。”Kazuar是一个.NET后门,自2015年以来一直活跃,并于2017年由PaloAltoNetworks首次详细介绍。虽然没有人明确将Kazuar与已知的威胁参与者联系起来,但PaloAltoNetworks在其关于Kazuar的初步报告中发现的一些证据表明它可能被Turla所利用,该组织与俄罗斯有关联,是一个臭名昭著的网络间谍组织,在过去14年里攻击过无数政府机构。据卡巴斯基称,Kazuar和其他Turla工具在过去几年中多次被发现存在相同的漏洞。Turla黑客可能使用Kazuar作为第二阶段后门。卡巴斯基指出,目前发现的相关信息不足以识别攻击者,有几种可能:Sunburst和Kazuar可能是同一个团队开发的,但Sunburst的开发者可能只使用了Kazuar的部分代码或想法,有可能不是直接关系。SolarWinds攻击者和使用Kazuar的组织很可能从同一来源获得代码。也有可能Kazuar的开发人员出于某种原因转到了Sunburst团队。Sunburst和Kazuar之间的相似性只是用来误导调查人员的伪装信号。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
