Abonner
SUNBURST

Kaspersky antyder at Solarwinds-skadevaren er knyttet til beryktede Turla

Har oppdaget flere «pussige sammentreff».

Kaspersky Labs illustrasjon for Sunburst-skadevaren.
Kaspersky Labs illustrasjon for Sunburst-skadevaren. Illustrasjon: Kaspersky Lab
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
13. jan. 2021 - 05:00

Russisk Kaspersky Lab mener at Sunburst-skadevaren som har blitt utnyttet i forbindelse med de Solarwindows-relaterte angrepene, har betydelige likheter med den eldre skadevaren Kazuar. 

Kazuar har tidligere blitt knyttet til en mye omtalt og russiskspråklig trusselgruppe kalt Turla. Gruppen antas også stå bak en skadevarefamilie med samme navn, men har trolig vært virksomhet i alle fall siden 2008. Mange mener at Turla er tilknyttet den russiske etterretningstjenesten FSB.

Turla-gruppen har også blitt kalt for Snake, Venomous Bear, Uroburos, Group 88, Waterbug og Turla Team. Det er stort sett sikkerhetsselskaper som har funnet på disse ulike navnene. Hva de ulike trusselgruppene eventuelt kaller seg selv, er i stor grad ukjent. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Investerer milliarder i bedre møteopplevelse
Apple løsner på snippen når det gjelder app-distribusjon i Europa.
Les også

Nå får du omsider lov til å laste ned apper fra andre steder enn App Store

Besynderlige sammenfall

Kazuar er .NET-basert bakdør som først ble oppdaget i 2017, men som har vært i bruk i alle fall siden 2015. Siden den gang har Kazuar blitt betydelig videreutviklet. Den hittil mest avanserte utgaven som Kaspersky kjenner til, ble oppdaget den 29. desember i fjor. 

Kaspesky Lab skriver i et blogginnlegg at Kazuar og Sunburst har en rekke likheter som selskapet omtaler som pussige sammentreff.

– Ett sammentreff ville ikke være så uvanlig, to sammentreff ville definitivt føre til et hevet øyenbryn, mens tre slike sammentreff er for oss mistenkelig, skriver selskapet. 

Selskapet understreker likevel at ingen de aktuelle algoritmene og implementeringen av disse verken er unike i den store sammenhengen, og ingen av kodefragmentene som ligner på hverandre, er hundre prosent identiske. 

Flere av likhetene blir grundig presentert i blogginnlegget.

Flere mulige årsaker

Kaspersky Lab presenterer også en liste med fem mulige årsaker til disse likhetene. Det at det dreier seg om samme trusselgruppe, er én av disse. En annen mulig årsak er at noen andre driver med falskt flagg-virksomhet, altså forsøker å legge skylden på noen andre. 

Selskapet understreker at det uansett ikke vet hvem som står bak angrepet, og mener at dette er et spørsmål som det er bedre å overlate til politi og domstoler å besvare. 

Politiet har gått til aksjon mot det svært destruktive Lockbit-viruset, men arbeidet pågår fortsatt.
Les også

Henger ut beryktet gruppe: − Vi har hacket hackerne

Les mer om:
KASPERSKY LABSOLARWINDSSUNBURST
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra