Uzmanlar, Solarwinds Saldırısının Kazuar Arka Kapısıyla İlgili Olduğunu Tespit Etti



Uzmanlar, Solarwinds Saldırısının Kazuar Arka Kapısıyla İlgili Olduğunu Tespit Etti

13 Aralık 2020'de FireEye, Microsoft ve SolarWinds, SolarWinds'in Orion BT müşterilerine karşı kullanılan, önceden bilinmeyen yeni bir kötü amaçlı yazılım olan "Sunburst" adlı büyük ve karmaşık bir tedarik zinciri saldırısını keşfettiğini duyurdu. Kaspersky uzmanları, Sunburst ile kurbanın makinesine uzaktan erişim sağlayan kötü amaçlı yazılım türü olan Kazuar arka kapılarının bilinen sürümleri arasında özel kod benzerlikleri buldu. Yeni bulgular, araştırmacıların saldırının kaynağını ortaya çıkarmasına yardımcı olabilecek yeni ipuçları sağlıyor.

Sunburst arka kapısını incelerken Kaspersky uzmanları, daha önce 2017'de Palo Alto tarafından bildirilen ve dünya çapındaki siber casusluk saldırılarında kullanılan .NET çerçevesi kullanılarak yazılmış bir arka kapı olan Kazuar ile örtüşen bir dizi özellik keşfetti. Kodlardaki benzerlikler, Kazuar ve Sunburst arasında bir bağlantı olduğunu düşündürüyor.

Sunburst ve Kazuar arasındaki örtüşen özellikler, kurbana yönelik UID oluşturma algoritmasını, uyku algoritmasını ve FNV-1a hash değerinin kapsamlı kullanımını içeriyor. Uzmanlara göre, bu kod parçaları %100 özdeş değil. Bu da Kazuar ve Sunburst'un ilişkili olabileceğini düşündürse de, ikisi arasındaki ilişkinin doğası hala tam olarak netleşmiş değil.

Sunburst kötü amaçlı yazılımı ilk kez devreye alındıktan sonra Şubat 2020'de Kazuar gelişmeye devam etti. Kazuar’ın 2020 varyantları, bazı açılardan Sunburst'a daha da benziyor.

Genel olarak Kazuar’ın evrimleştiği dönemde uzmanlar, Sunburst'a benzer önemli özelliklerin eklendiği sürekli bir geliştiğini gözlemledi. Kazuar ve Sunburst arasındaki bu benzerlikler dikkate değer olmakla birlikte bunun sebebine dair pek çok ihtimal bulunuyor. Bunlar arasında Sunburst ve Kazuar’ın aynı grup tarafından geliştirilmesi, Sunburst geliştiricilerinin Kazuar'dan ilham alması, Kazuar geliştiricilerinden bir kısmının Sunburst ekibine geçmesi veya Sunburst ve Kazuar'ın aynı kötü amaçlı kaynaktan beslenmesi sayılabilir.

Kaspersky Küresel Araştırma ve Analiz Ekibi direktörü Costin Raiu, konuya dair şunları söylüyor: "Belirlenen bağlantı SolarWinds saldırısının arkasında kimin olduğunu açığa çıkarmıyor, ancak araştırmacıların ilerlemesine yardımcı olabilecek daha fazla bilgi sağlıyor. Dünyadaki diğer araştırmacıların bu benzerlikleri araştırmasının, Kazuar ve SolarWinds ihlalinde kullanılan Sunburst'un kökeni hakkında daha fazla bilgi edinme noktasında önemli olduğuna inanıyoruz. Geçmiş deneyimlerden yola çıkarak WannaCry saldırısına dönüp baktığımızda, saldırının ilk günlerinde onları Lazarus grubuna bağlayan çok az ipucu vardı. Zamanla daha fazla kanıt ortaya çıktı ve bizim ve diğerlerinin bu ikisini birbirine bağlamamıza izin verdi. Bu konu hakkında daha fazla araştırma yapılması, eksik halkaları birleştirmek adına çok önemli.”

Sunburst ve Kazuar benzerlikleri hakkında daha fazla teknik ayrıntıyı Securelist raporunda bulabilirsiniz. Kaspersky’nin Sunburst araştırmasıyla ilgili daha fazla bilgiyi buradan okuyabilir, Kaspersky’nin müşterilerini Sunburst saldırılarına karşı nasıl koruduğunu buradan öğrenebilirsiniz.

Kaspersky, Sunburst gibi kötü amaçlı yazılımlardan korunmak için şunları öneriyor:

  • SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verilerini ve içgörü-leri sağlar. Kullanıcıların dosyaları, URL'leri ve IP adreslerini kontrol etmesine izin veren özellikle-re ücretsiz erişim için bu adrese gidebilirsiniz.
  • Kendi soruşturmalarını yürütmek isteyen kuruluşlar, Kaspersky Threat Attribution Engine'den yararlanabilir. Bu sistem keşfedilen kötü amaçlı kodları kötü amaçlı yazılım veritabanlarıyla eşleştirir ve kod benzerliklerine dayanarak, daha önce ortaya çıkan saldırı kampanyalarıyla ilişkilendirir.

İlginizi Çekebilecek Yazılar







İletişim | Gizlilik | Kullanım Koşulları