{"id":26056,"date":"2021-01-12T15:59:46","date_gmt":"2021-01-12T13:59:46","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26056"},"modified":"2021-01-12T22:12:46","modified_gmt":"2021-01-12T20:12:46","slug":"solarwinds-hack-kaspersky-findet-code-ahnlichkeiten-zwischen-sunburst-und-kazuar-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/solarwinds-hack-kaspersky-findet-code-ahnlichkeiten-zwischen-sunburst-und-kazuar-backdoor\/26056\/","title":{"rendered":"SolarWinds-Hack: Kaspersky findet Code-\u00c4hnlichkeiten zwischen Sunburst und Kazuar-Backdoor"},"content":{"rendered":"

Die Experten von Kaspersky haben spezifische Code-\u00c4hnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden<\/a>. Diese Art von Malware erm\u00f6glicht einen Fernzugriff auf den Computer eines Opfers. Die neuen Erkenntnisse k\u00f6nnen IT-Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen.<\/p>\n

Mitte Dezember 2020 gaben FireEye, Microsoft und SolarWinds die Entdeckung eines gro\u00dfen, hoch komplexen Supply-Chain-Angriffs bekannt, bei dem die bisher unbekannte Malware ,Sunburst\u2018 gegen Kunden von SolarWinds Orion eingesetzt wurde.<\/p>\n

\"\"<\/p>\n

Bei der Analyse der Sunburst-Backdoor entdeckten die Sicherheitsforscher von Kaspersky eine Reihe von Funktionen, die sich mit denen der im .NET Framework geschriebenen Backdoor ,Kazuar\u2018 \u00fcberschneiden. Kazuar wurde erstmals im Jahr 2017 von Palo Alto beschrieben und dem APT-Akteur Turla<\/a> zugeschrieben, der diese Backdoor bei Cyberspionageangriffen auf der ganzen Welt eingesetzt hat. Mehrere \u00c4hnlichkeiten im Code deuten auf eine Verbindung zwischen Kazuar und Sunburst hin, wenn auch von noch unbestimmter Natur.<\/p>\n

Experten von #Kaspersky haben Parallelen zwischen #Sunburst, dem Schadprogramm, das beim Solarwinds-Hack genutzt wurde, und einer anderen Backdoor namens #Kazuar gefunden.<\/p>Tweet<\/a><\/blockquote>\n

Zu den Gemeinsamkeiten zwischen Sunburst und Kazuar geh\u00f6ren der UID-(User Idenitifier), Generierungsalgorithmus, der Sleep-Algorithmus und die umfassende Verwendung des FNV1a-Hashs.. Laut den Experten sind diese Code-Fragmente nicht 100 prozentig identisch, was darauf hindeutet, dass Kazuar und Sunburst verwandt sein k\u00f6nnten, auch wenn die Art dieser Beziehung noch nicht ganz klar ist.<\/p>\n

Nach der ersten Bereitstellung der Sunburst-Malware im Februar 2020 wurde Kazuar weiterentwickelt, sp\u00e4tere 2020-Varianten \u00e4hneln in gewisser Hinsicht Sunburst noch mehr.<\/p>\n

\u00dcber die Jahre der Kazuar-Entwicklung hinweg konnten die Experten von Kaspersky eine kontinuierliche Weiterentwicklung feststellen, bei der bedeutende Funktionen hinzugef\u00fcgt wurden, die Sunburst \u00e4hneln. Diese \u00c4hnlichkeiten k\u00f6nnen unterschiedliche Gr\u00fcnde haben, beispielsweise dass Sunburst von derselben Gruppe wie Kazuar entwickelt wurde, oder die Sunburst-Entwickler Kazuar als Vorlage verwendet haben, oder aber dass ein Kazuar-Entwickler zum Sunburst-Team gewechselt hat, oder dass die beiden Gruppen hinter Sunburst und Kazuar ihre Malware jeweils aus derselben Quelle bezogen haben.<\/p>\n

\u201eDie gefundene Verbindung verr\u00e4t nicht, wer hinter dem Solarwinds-Angriff steckt, bietet jedoch weitere Erkenntnisse, die Forschern dabei helfen k\u00f6nnen, diese Analyse weiter voranzutreiben\u201c, erkl\u00e4rt Costin Raiu, Leiter des Global Research and Analysis Teams (GReAT) bei Kaspersky. \u201eWir sind davon \u00fcberzeugt, dass es wichtig ist, dass auch andere Forscher weltweit diese \u00c4hnlichkeiten untersuchen, und versuchen, mehr \u00fcber Kazuar und den Ursprung der Sunburst-Malware, die gegen Solarwinds eingesetzt wurde, herauszufinden. Beim WannaCry-Angriff beispielsweise gab es in den ersten Tagen nur sehr wenige Fakten, die diesen mit der Lazarus-Gruppe in Verbindung brachten. Mit der Zeit fanden wir jedoch weitere Beweise, die es uns und anderen erlaubten, sie mit hoher Wahrscheinlichkeit miteinander in Verbindung zu bringen. Weitere Analysen zu solchen Angriffen sind entscheidend, um ein umfassenderes Bild zu erhalten.\u201c<\/p>\n

Um das Risiko einer Infektion mit Malware wie der Solarwinds-Backdoor zu vermeiden, empfehlen wir:<\/h3>\n