Sunburst

Kaspersky antyder at Solarwinds-skadevaren er knyttet til beryktede Turla

Har oppdaget flere «pussige sammentreff».

Kaspersky Labs illustrasjon for Sunburst-skadevaren.
Kaspersky Labs illustrasjon for Sunburst-skadevaren. (Illustrasjon: Kaspersky Lab)

Har oppdaget flere «pussige sammentreff».

Russisk Kaspersky Lab mener at Sunburst-skadevaren som har blitt utnyttet i forbindelse med de Solarwindows-relaterte angrepene, har betydelige likheter med den eldre skadevaren Kazuar. 

Kazuar har tidligere blitt knyttet til en mye omtalt og russiskspråklig trusselgruppe kalt Turla. Gruppen antas også stå bak en skadevarefamilie med samme navn, men har trolig vært virksomhet i alle fall siden 2008. Mange mener at Turla er tilknyttet den russiske etterretningstjenesten FSB.

Turla-gruppen har også blitt kalt for Snake, Venomous Bear, Uroburos, Group 88, Waterbug og Turla Team. Det er stort sett sikkerhetsselskaper som har funnet på disse ulike navnene. Hva de ulike trusselgruppene eventuelt kaller seg selv, er i stor grad ukjent. 

Les også

Besynderlige sammenfall

Kazuar er .NET-basert bakdør som først ble oppdaget i 2017, men som har vært i bruk i alle fall siden 2015. Siden den gang har Kazuar blitt betydelig videreutviklet. Den hittil mest avanserte utgaven som Kaspersky kjenner til, ble oppdaget den 29. desember i fjor. 

Kaspesky Lab skriver i et blogginnlegg at Kazuar og Sunburst har en rekke likheter som selskapet omtaler som pussige sammentreff.

– Ett sammentreff ville ikke være så uvanlig, to sammentreff ville definitivt føre til et hevet øyenbryn, mens tre slike sammentreff er for oss mistenkelig, skriver selskapet. 

Selskapet understreker likevel at ingen de aktuelle algoritmene og implementeringen av disse verken er unike i den store sammenhengen, og ingen av kodefragmentene som ligner på hverandre, er hundre prosent identiske. 

Flere av likhetene blir grundig presentert i blogginnlegget.

Flere mulige årsaker

Kaspersky Lab presenterer også en liste med fem mulige årsaker til disse likhetene. Det at det dreier seg om samme trusselgruppe, er én av disse. En annen mulig årsak er at noen andre driver med falskt flagg-virksomhet, altså forsøker å legge skylden på noen andre. 

Selskapet understreker at det uansett ikke vet hvem som står bak angrepet, og mener at dette er et spørsmål som det er bedre å overlate til politi og domstoler å besvare. 

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen