El malware utilizado para piratear a Microsoft, la empresa de seguridad FireEye y al menos media docena de agencias federales tiene «similitudes interesantes» con el software malicioso que ha estado circulando desde al menos 2023, dijeron investigadores el lunes.
Sunburst es el nombre que los investigadores de seguridad le han dado al malware que infectó a unas 18,000 organizaciones cuando instalaron una actualización maliciosa para Orion, una herramienta de administración de red vendida por SolarWinds, con sede en Austin, Texas. Los atacantes desconocidos que colocaron Sunburst en Orion lo usaron para instalar malware adicional que penetró más en redes de interés seleccionadas. Con infecciones que afectaron a los Departamentos de Justicia, Comercio, Tesoro, Energía y Seguridad Marketingdecontenido, la campaña de hackeo se encuentra entre las peores de la historia moderna de los Estados Unidos. La Agencia de Seguridad Marketingdecontenido, el FBI y otras dos agencias federales dijeron la semana pasada que el gobierno ruso era «probable» detrás del ataque, que comenzó a más tardar en octubre de 2023. Si bien varias fuentes de noticias, citando a funcionarios anónimos, informaron que las intrusiones fueron Gracias al trabajo del SVR del Kremlin, o Servicio de Inteligencia Extranjera, los investigadores continúan buscando pruebas que prueben o refute definitivamente las declaraciones.
un poco sospechoso
El lunes, investigadores de la empresa de seguridad Kaspersky Lab, con sede en Moscú, informaron «similitudes curiosas» en el código de Sunburst y Kazuar, una pieza de malware que salió a la luz por primera vez en 2023. Kazuar, dijeron entonces los investigadores de la empresa de seguridad Palo Alto Networks, era se usa junto con herramientas conocidas de Turla, uno de los grupos de piratería más avanzados del mundo, cuyos miembros hablan ruso con fluidez.
En un informe publicado el lunes, los investigadores de Kaspersky Labs dijeron que encontraron al menos tres similitudes en el código y las funciones de Sunburst y Kazuar. Están:
- El algoritmo utilizado para generar los identificadores únicos de víctimas.
- El algoritmo que se usa para hacer que el malware «duerma» o retrase la acción después de infectar una red, y
- Uso extensivo del algoritmo hash FNV-1a para ofuscar el código.
“Debe señalarse [out] que ninguno de estos fragmentos de código es 100 % idéntico”, escribieron los investigadores de Kaspersky Lab Gregory Kucherin, Igor Kuznetsov y Costin Raiu. “Sin embargo, son curiosas coincidencias, para decir [the] el menos. Una coincidencia no sería tan inusual, dos coincidencias definitivamente levantarían una ceja, mientras que tres coincidencias de este tipo son un poco sospechosas para nosotros”.
La publicación del lunes advierte contra sacar demasiadas inferencias de las similitudes. Podrían significar que Sunburst fue escrito por los mismos desarrolladores detrás de Kazuar, pero también podrían ser el resultado de un intento de engañar a los investigadores sobre los verdaderos orígenes del ataque a la cadena de suministro de SolarWinds, algo que los investigadores llaman una operación de bandera falsa.
Otras posibilidades incluyen un desarrollador que trabajó en Kazuar y luego se fue a trabajar para el grupo que creó Sunburst, los desarrolladores de Sunburst aplicaron ingeniería inversa a Kazuar y lo usaron como inspiración, o los desarrolladores de Kazuar y Sunburst obtuvieron su malware de la misma fuente.
Los investigadores de Kaspersky Lab escribieron:
Por el momento, no sabemos cuál de estas opciones es cierta. Si bien Kazuar y Sunburst pueden estar relacionados, la naturaleza de esta relación aún no está clara. A través de un análisis más profundo, es posible que surjan evidencias que confirmen uno o varios de estos puntos. Al mismo tiempo, también es posible que los desarrolladores de Sunburst fueran realmente buenos en su opsec y no cometieran ningún error, siendo este enlace una bandera falsa elaborada. En cualquier caso, esta superposición no cambia mucho para los defensores. Los ataques a la cadena de suministro son algunos de los tipos de ataques más sofisticados en la actualidad y han sido utilizados con éxito en el pasado por grupos APT como Winnti/Bario/APT41 y varios grupos de ciberdelincuentes.
Los funcionarios federales y los investigadores han dicho que podría tomar meses comprender el impacto total de la campaña de piratería de meses. La publicación del lunes pidió a otros investigadores que analicen más a fondo las similitudes en busca de pistas adicionales sobre quién está detrás de los ataques.
