Liên kết còn thiếu giữa Kazual và Sunburst: chuyên gia cho rằng tấn công Solarwinds có liên hệ với backdoor Kazuar

pull-icon
logo-mobile

Danh mục

/

/

Liên kết còn thiếu giữa Kazual và Sunburst: chuyên gia cho rằng tấn công Solarwinds có liên hệ với backdoor Kazuar

Tin NTS Group
Tin Kaspersky Lab
Tin Khuyến mãi
Quỹ Hỗ trợ Giáo dục NTS Kaspersky
Thông tin hàng giả

Liên kết còn thiếu giữa Kazual và Sunburst: chuyên gia cho rằng tấn công Solarwinds có liên hệ với backdoor Kazuar

29/01/2021 16:05

68

Liên kết còn thiếu giữa Kazual và Sunburst: chuyên gia cho rằng tấn công Solarwinds có liên hệ với backdoor Kazuar

Vào ngày 13 tháng 12 năm 2020, FireEye, Microsoft và SolarWinds cùng thông báo phát hiện một cuộc tấn công chuỗi cung ứng lớn và tinh vi phát tán một phần mềm độc hại chưa từng được biết đến. Phần mềm độc hại có tên Sunburst, đã tấn công những khách hàng sử dụng phần mềm Orion của SolarWinds. Các chuyên gia của Kaspersky đã tìm thấy nhiều điểm tương đồng về mã giữa Sunburst và các phiên bản đã biết của backdoor Kazuar - phần mềm độc hại cho phép quyền truy cập từ xa vào thiết bị của nạn nhân. Phát hiện mới cung cấp nhiều thông tin chi tiết, có thể giúp các nhà nghiên cứu tiến hành điều tra vụ tấn công.


Trong quá trình nghiên cứu backdoor Sunburst, các chuyên gia của Kaspersky đã phát hiện một số tính năng tương đồng với Kazuar - từng được xác định là backdoor được viết trên nền .NET framework. được phát hiện lần đầu tiên bởi Palo Alto vào năm 2017 và được sử dụng trong các cuộc tấn công gián điệp mạng trên toàn cầu. Nhiều điểm tương đồng về mã cho thấy mối liên hệ giữa Kazuar và Sunburst, tuy nhiên về bản chất vẫn chưa thể xác định chính xác sự liên quan này.

Các tính năng tương đồng giữa Sunburst và Kazuar bao gồm thuật toán tạo mã định danh người dùng (UID), thuật toán phân tích giấc ngủ ban đầu và việc sử dụng rộng rãi hàm băm FNV1a. Theo các chuyên gia, các đoạn mã không giống hệt nhau, cho thấy Kazuar và Sunburst có thể liên quan đến nhau mặc dù bản chất sự liên quan chưa hoàn toàn rõ ràng.

Sau khi Sunburst hoạt động lần đầu vào tháng 2/2020, Kazuar tiếp tục phát triển và đến cuối năm 2020 nhiều biến thể có nhiều điểm tương đồng với những biến thể của Sunburst.

Trong suốt nhiều năm, các chuyên gia đã quan sát thấy sự phát triển liên tục của Kazuar, trong đó, những tính năng quan trọng, tương tự như Sunburst, đã được thêm vào phần mềm độc hại. Với những điểm tương đồng rất đáng chú ý giữa Kazuar và Sunburst, có rất nhiều lý do cho sự tồn tại của chúng, bao gồm việc Sunburst được phát triển bởi cùng một nhóm tin tặc với Kazuar, hoặc nhóm phát triển Sunburst lấy cảm hứng từ Kazuar, người phát triển Kazuar chuyển đến nhóm Sunburst làm việc, hoặc cả hai nhóm cùng đứng sau Sunburst và Kazuar đã lấy phần mềm độc hại từ cùng một nguồn.

Ông Costin Raiu, Giám đốc Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky cho biết: “Sự tương đồng không kết luận được ai thực sự đứng sau vụ tấn công Solarwinds, tuy nhiên, có thể cung cấp thêm thông tin cho các nhà nghiên cứu trong quá trình điều tra. Điều quan trọng là các nhà nghiên cứu trên thế giới có thể điều tra mở rộng từ những điểm tương đồng này, từ đó tìm hiểu thêm thông tin về Kazuar, nguồn gốc của Sunburst, cũng như phần mềm độc hại được sử dụng trong vụ tấn công Solarwinds. Ví dụ như khi nhìn lại cuộc tấn công Wannacry: trong những ngày đầu tiên, có rất ít dữ kiện liên kết Wannacry với nhóm Lazarus. Theo thời gian, nhiều bằng chứng đã xuất hiện, cho phép chúng tôi và những chuyên gia khác có thể liên kết chúng lại với nhau với độ tin cậy cao. Từ đó, những nghiên cứu sâu hơn về chủ đề này có thể kết nối các dữ kiện với nhau.”

Chi tiết kỹ thuật về điểm tương đồng của Solarwinds và Kazuar có trong báo cáo tại Securelist.

Nghiên cứu của Kaspersky về Sunburst được đăng tải tại link. Để tìm hiểu cách Kaspersky bảo vệ khách hàng trước backdoor Sunburst, vui lòng truy cập link.

Để tránh rủi ro bị lây nhiễm bởi phần mềm độc hại như backdoor Sunburst, Kaspersky khuyến nghị:

• Cung cấp cho nhóm SOC quyền truy cập thông tin tình báo mối đe dọa an ninh mạng mới nhất (TI). Kaspersky Threat Intelligence Portal cấp quyền truy cập vào TI của công ty, cung cấp dữ liệu tấn công mạng và những thông tin được Kaspersky thu thập trong hơn 20 năm qua. Quyền truy cập miễn phí vào các tính năng của sản phẩm cho phép người dùng kiểm tra tệp, URL và địa chỉ IP hiện có sẵn tại đây.

• Các tổ chức muốn tiến hành tự điều tra có thể tham khảo Kaspersky Threat Attribution Engine. Sản phẩm giúp đối chiếu mã độc được phát hiện với cơ sở dữ liệu phần mềm độc hại hiện có. Sau đó, dựa trên các điểm tương đồng về mã để quy về những chiến dịch APT đã được thực hiện.

***

Thông tin về Kaspersky

Kaspersky là một công ty an ninh mạng toàn cầu được thành lập năm 1997. Tin tức tình báo về mối đe doạ và chuyên môn về bảo mật của Kaspersky không ngừng được sử dụng trong các giải pháp và dịch vụ bảo mật để bảo vệ doanh nghiệp, cơ sở hạ tầng then chốt, chính phủ và người dùng trên toàn thế giới. Danh mục giải pháp bảo mật toàn diện của công ty bao gồm bảo vệ thiết bị đầu cuối và số lượng giải pháp và dịch vụ bảo mật chuyên biệt hàng đầu để chống lại các mối đe doạ số tinh vi và không ngừng phát triển. Công nghệ của Kaspersky đang bảo vệ hơn 400 triệu người dùng và giúp 270.000 khách hàng doanh nghiệp bảo vệ những thứ giá trị nhất. Tìm hiểu thêm tại www.kaspersky.com

Bài viết liên quan

Kaspersky thông báo về việc ngừng cung cấp một số sản phẩm KESB, KESC, KEDR
Kaspersky thông báo về việc ngừng cung cấp một số sản phẩm KESB, KESC, KEDR

18/04/2025 11:06

Từ ngày 30/6/2025, Kaspersky ngừng cung cấp các sản phẩm Kaspersky Endpoint Security for Business, Kaspersky Endpoint Detection and Response và Kaspersky Endpoint Security Cloud.

Kaspersky tiết lộ hơn 500.000 vụ tấn công lừa đảo nhắm vào các doanh nghiệp tại Đông Nam Á trong năm 2024
Kaspersky tiết lộ hơn 500.000 vụ tấn công lừa đảo nhắm vào các doanh nghiệp tại Đông Nam Á trong năm 2024

02/04/2025 01:52

Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạng đã lợi dụng các liên kết lừa đảo tài chính để xâm nhập vào hệ thống của các doanh nghiệp tại khu vực Đông Nam Á.

Kaspersky phát hiện cuộc tấn công mới SalmonSlalom nhắm vào các tổ chức công nghiệp tại khu vực châu Á - Thái Bình Dương
Kaspersky phát hiện cuộc tấn công mới SalmonSlalom nhắm vào các tổ chức công nghiệp tại khu vực châu Á - Thái Bình Dương

23/03/2025 17:16

Nhóm chuyên gia Kaspersky ICS CERT vừa phát hiện một chiến dịch tấn công mạng nhắm vào các tổ chức công nghiệp tại khu vực châu Á – Thái Bình Dương (APAC). Kẻ tấn công lợi dụng các dịch vụ điện toán đám mây hợp pháp để quản lý phần mềm độc hại và triển khai quy trình tấn công, gồm nhiều giai đoạn phức tạp để vượt kiểm duyệt của các hệ thống phát hiện xâm nhập.

Cơ quan Chính phủ và ngành công nghiệp phát triển ghi nhận số vụ tấn công an ninh mạng nghiêm trọng giảm còn 1/3 trong năm 2024
Cơ quan Chính phủ và ngành công nghiệp phát triển ghi nhận số vụ tấn công an ninh mạng nghiêm trọng giảm còn 1/3 trong năm 2024

23/03/2025 17:11

Theo báo cáo mới nhất từ giải pháp Kaspersky Managed Detection and Response (MDR) của Kaspersky, tổng số vụ tấn công an ninh mạng, có sự can thiệp trực tiếp của con người, vào các cơ quan Chính phủ và các ngành công nghiệp phát triển đã giảm đáng kể trong năm 2024. Trong khi đó, các lĩnh vực thực phẩm, công nghệ thông tin (IT), viễn thông và công nghiệp lại ghi nhận sự gia tăng.

Kaspersky báo cáo mã độc đánh cắp dữ liệu làm rò rỉ hơn 2 triệu thẻ ngân hàng
Kaspersky báo cáo mã độc đánh cắp dữ liệu làm rò rỉ hơn 2 triệu thẻ ngân hàng

23/03/2025 17:05

Theo ước tính từ Kaspersky Digital Footprint Intelligence, có tới 2,3 triệu thẻ ngân hàng đã bị rò rỉ trên dark web. Con số này được xác định dựa trên quá trình phân tích các tệp nhật ký từ mã độc đánh cắp dữ liệu trong giai đoạn 2023-2024.

Nhận ưu đãi Bỏ qua