"Giải mã" mối liên quan giữa 2 nhóm tin tặc "khét tiếng" Kazuar và Sunburst

Thứ Tư, ngày 13/01/2021 06:00 AM (GMT+7)

Với những điểm tương đồng rất đáng chú ý giữa Kazuar và Sunburst, có rất nhiều lý do cho sự tồn tại của chúng.

Vào những ngày cuối năm 2020, FireEye, Microsoft và SolarWinds đã cùng thông báo phát hiện một cuộc tấn công chuỗi cung ứng lớn và tinh vi phát tán một phần mềm độc hại chưa từng được biết đến. Phần mềm độc hại có tên Sunburst, đã tấn công những khách hàng sử dụng phần mềm Orion của SolarWinds.

"Giải mã" mối liên quan giữa 2 nhóm tin tặc "khét tiếng" Kazuar và Sunburst - 1

Nhóm tin tặc Sunburst mới xuất hiện nhiều khả năng liên quan tới nhóm Kazuar trước đó.

Khi đó, các chuyên gia của Kaspersky tìm thấy nhiều điểm tương đồng về mã nguồn giữa Sunburst và các phiên bản đã biết của backdoor Kazuar - phần mềm độc hại cho phép quyền truy cập từ xa vào thiết bị của nạn nhân. Phát hiện mới cung cấp nhiều thông tin chi tiết, có thể giúp các nhà nghiên cứu tiến hành điều tra vụ tấn công.

Kazuar là backdoor được viết trên nền .NET framework, được phát hiện lần đầu tiên bởi Palo Alto vào năm 2017. Nó được sử dụng trong các cuộc tấn công gián điệp mạng trên toàn cầu. Nhiều điểm tương đồng về mã cho thấy mối liên hệ giữa Kazuar và Sunburst, tuy nhiên về bản chất vẫn chưa thể xác định chính xác sự liên quan này.

Các tính năng tương đồng giữa Sunburst và Kazuar bao gồm thuật toán tạo mã định danh người dùng (UID), thuật toán phân tích giấc ngủ ban đầu và việc sử dụng rộng rãi hàm băm FNV1a. Theo các chuyên gia, các đoạn mã không giống hệt nhau, cho thấy Kazuar và Sunburst có thể liên quan đến nhau mặc dù bản chất sự liên quan chưa hoàn toàn rõ ràng.

"Với những điểm tương đồng rất đáng chú ý giữa Kazuar và Sunburst, có rất nhiều lý do cho sự tồn tại của chúng, bao gồm việc: Sunburst được phát triển bởi cùng một nhóm tin tặc với Kazuar, hoặc nhóm phát triển Sunburst lấy cảm hứng từ Kazuar, hoặc người phát triển Kazuar chuyển đến nhóm Sunburst làm việc, hoặc cả hai nhóm cùng đứng sau Sunburst và Kazuar đã lấy phần mềm độc hại từ cùng một nguồn", Kaspersky nhận định.

Khi điểm tương đồng của Solarwinds và Kazuar chưa chính thức được xác định, người dùng internet được khuyến cáo cần chủ động thực hiện các giải pháp sau để đề phòng bị tấn công.

Nguồn: http://danviet.vn/giai-ma-moi-lien-quan-giua-2-nhom-tin-tac-khet-tieng-kazuar-va-sunburst-502021...

6 vụ tấn công mạng ”chấn động” Đông Nam Á trong năm 2020

Các phương thức tấn công mạng hàng đầu ở Đông Nam Á năm 2020 là tấn công khai thác tiền mã hóa, lừa đảo, ransomware có...

Theo Ngọc Phạm (Dân Việt)
sự kiện Internet và những hiểm họa khôn lường