Sunburst art kapısını incelerken Kaspersky uzmanları, daha evvel 2017’de Palo Alto tarafından bildirilen ve dünya çapındaki siber casusluk …
Sunburst art kapısını incelerken Kaspersky uzmanları, daha evvel 2017’de Palo Alto tarafından bildirilen ve dünya çapındaki siber casusluk hücumlarında kullanılan .NET çerçevesi kullanılarak yazılmış bir art kapı olan Kazuar ile örtüşen bir dizi özellik keşfetti. Kodlardaki benzerlikler, Kazuar ve Sunburst ortasında bir temas olduğunu düşündürüyor.
Sunburst ve Kazuar ortasındaki örtüşen özellikler, kurbana yönelik UID oluşturma algoritmasını, uyku algoritmasını ve FNV-1a hash bedelinin kapsamlı kullanımını içeriyor. Uzmanlara nazaran, bu kod modülleri %100 özdeş değil. Bu da Kazuar ve Sunburst’un alakalı olabileceğini düşündürse de, ikisi ortasındaki alakanın tabiatı hala tam olarak netleşmiş değil.
Sunburst makus emelli yazılımı birinci defa devreye alındıktan sonra Şubat 2020’de Kazuar gelişmeye devam etti. Kazuar’ın 2020 varyantları, kimi açılardan Sunburst’a daha da benziyor.
Genel olarak Kazuar’ın evrimleştiği devirde uzmanlar, Sunburst’a misal kıymetli özelliklerin eklendiği daima bir geliştiğini gözlemledi. Kazuar ve Sunburst ortasındaki bu benzerlikler dikkate paha olmakla birlikte bunun sebebine dair pek çok ihtimal bulunuyor. Bunlar ortasında Sunburst ve Kazuar’ın birebir küme tarafından geliştirilmesi, Sunburst geliştiricilerinin Kazuar’dan ilham alması, Kazuar geliştiricilerinden bir kısmının Sunburst takımına geçmesi yahut Sunburst ve Kazuar’ın tıpkı berbat emelli kaynaktan beslenmesi sayılabilir.
Şirketin Global Araştırma ve Tahlil Grubu yöneticisi Costin Raiu, bahse dair şunları söylüyor: “Belirlenen ilişki SolarWinds saldırısının ardında kimin olduğunu açığa çıkarmıyor, fakat araştırmacıların ilerlemesine yardımcı olabilecek daha fazla bilgi sağlıyor. Dünyadaki öbür araştırmacıların bu benzerlikleri araştırmasının, Kazuar ve SolarWinds ihlalinde kullanılan Sunburst’un kökeni hakkında daha fazla bilgi edinme noktasında kıymetli olduğuna inanıyoruz. Geçmiş tecrübelerden yola çıkarak WannaCry saldırısına dönüp baktığımızda, akının birinci günlerinde onları Lazarus kümesine bağlayan çok az ipucu vardı. Vakitle daha fazla delil ortaya çıktı ve bizim ve başkalarının bu ikisini birbirine bağlamamıza müsaade verdi. Bu mevzu hakkında daha fazla araştırma yapılması, eksik halkaları birleştirmek ismine çok kıymetli.”