实锤了？SolarWinds攻击者与俄罗斯黑客组织存在关联信息

关于SolarWinds供应链攻击的归因工作牵动着全球安全界的注意力。此前，美国政府多位官员声称攻击者很可能是俄罗斯，一些未经证实的报道称该威胁组织为APT29和Cozy Bear。但是都没有公布确凿的或者详细的证据。

周一，卡巴斯基报道(https://securelist.com/sunburst-backdoor-kazuar/99981/)称，在SolarWinds攻击者投放的Sunburst恶意软件与Kazuar之间发现了“有趣”的关联。“Sunburst和Kazuar的各代人的几个代码片段非常相似。我们应该指出，尽管类似，但这些代码块(例如UID计算子例程和FNV-1a哈希算法的用法以及睡眠循环)仍然不是100%相同。”

Kazuar是自2015年以来始终活跃的.NET后门程序，2017年由Palo Alto Networks首次详细介绍。

虽然还没有人明确地将Kazuar与已知的威胁行为者联系起来，但是Palo Alto Networks在有关Kazuar的初次报告时发现的一些证据表明，Turla可能已经使用了它，后者是与俄罗斯有关联的一个臭名昭著的网络间谍组织，在过去的14年中攻击了许多政府组织。

根据卡巴斯基的说法，过去几年中，Kazuar与其他Turla工具多次被发现相同漏洞。Turla黑客可能已经将Kazuar用作第二阶段的后门程序。

卡巴斯基指出，目前发现的关联信息尚不足以确认攻击者，大致存在几种可能：

• Sunburst和Kazuar可能是同一个小组开发的，但是Sunburst的开发人员也可能只使用了Kazuar的一些代码或构想，未必存在直接关联。
• SolarWinds攻击者和使用Kazuar的小组都可能从相同的来源获取了代码。
• Kazuar的开发人员也可能出于某种原因转移到Sunburst团队。
• Sunburst和Kazuar之间的相似之处只是一个伪装信号，用来误导调查人员。

分享文章：实锤了？SolarWinds攻击者与俄罗斯黑客组织存在关联信息
分享地址：http://www.shufengxianlan.com/qtweb/news5/361005.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联