Sunburst et SolarWinds : des chercheurs établissent un lien avec la porte dérobée Kazuar

Les chercheurs en sécurité de Kaspersky ont trouvé des similitudes entre l'attaque et le programme backdoor Kazuar, qui serait assimilé à la Russie.

Certains en subissent encore les dégâts. Le 13 décembre dernier, l'éditeur de solutions de cybersécurité FireEye, le géant Microsoft et le fournisseur de logiciels SolarWinds annonçaient avoir découvert un malware des plus complexes, alors totalement inconnu. Baptisé "Sunburst", le cheval de Troie avait frappé 18 000 des 33 000 clients de la plateforme Orion de SolarWinds, notamment utilisée par les services gouvernementaux américains. L'un des grands noms de la cybersécurité, Kaspersky, a fait de grandes avancées en identifiant le chaînon manquant qui rattacherait l'attaque à la Russie.

Les chercheurs de Kasperksy ont annoncé, lundi 11 janvier, avoir trouvé certaines similitudes de code spécifiques entre le malware Sunburst et des versions plus connues de Kazuar, une porte dérobée (ou backdoor) assimilée à des pirates - présumés - russes.

Cette porte dérobée, qui se base sur la structure Microsoft .NET, fut signalée pour la première fois par les spécialistes cyber de l'Unité 42 de Palo Alto Networks, en 2017. À l'époque, les chercheurs l'avaient définie comme un trojan de porte dérobée depuis utilisée partout dans le monde dans des campagnes d'espionnage informatique.

Si Kaspersky affirme ignorer, pour l'heure, la nature du lien

entre Kazuar et Sunburst, l'entreprise est formelle : les similitudes de code sont bien réelles.

Les liens décelés entre Kazuar et Sunburst concernent notamment l'UID, l'algorithme de génération de l'identifiant utilisateur de la victime, mais aussi l'algorithme de veille et l'utilisation extensive du hachage FNV-1a. Cette dernière fonctionnalité permet "d'obscurcir les comparaisons de chaînes de caractères."

Les fragments de code identifiés ne sont pas tout à fait similaires à 100%, indique Kaspersky, mais l'entreprise cyber suggère bien que Kazuar et Sunburst sont liés. "Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst", explique l'entreprise russe.

Kaspersky a relevé plusieurs points communs entre les mutations de Kazuar et les échantillons de Sunburst, comme leur origine commune (le groupe Turla, affilié à la Russie si l'on en croit les autorités estoniennes) ; le fait que les développeurs de Sunburst s'inspirent de Kazuar ; ou celui que les malwares des deux groupes proviennent de la même source.

Costin Raiu, directeur du GReAT chez Kaspersky, conseille de "poursuivre les recherches autour de cette attaque", pour intensifier la collecte d'informations. Le chercheur appelle d'ailleurs d'autres experts à se pencher sur l'attaque de SolarWinds

Articles Similaires

Ammor et Essaadi ouvrent la 7e édition du festival du tapis ouaouzguit a taznakht

La Soccer Cup 2024 : L’ENCG Settat célèbre le sport dans toute sa splendeur

SUN PHARMA et la Maison Solidarité Alzheimer s’unissent pour "Faire Échec à l’Oubli"

"Centre Al Qalam : Performances exceptionnelles en CPGE et rayonnement international en 2024

Aleph s'associe à Pinterest en tant que représentant commercial au Maroc

HUDSON ouvre son premier magasin Crocs au Maroc

Casabus : Renforcement de 15 lignes estivales pour desservir les plages du Grand Casablanca

Erreur involontaire dans l’annonce du concours de l’École Supérieure Roi Fahd de Traduction

Nouvelle Publication : 25 Ans de Règne de Mohammed VI : Le Maroc en Pleine Transformation

OMS: Le Covid fait encore 1.700 morts par semaine

Casablanca accueille les plus grandes entreprises pour les RH AWARDS 2024

Aïd Al-Adha : Casabus annonce l'adaptation de ses horaires