محققان از شباهت کدهای دو بدافزار Sunburst و Kazuar به هم خبر دادند!

به گزارش محققان امنیتی، بدافزار Sunburst شناسایی‌شده در نرم‌افزار مانیتورینگ شبکه Orion، شباهت زیادی به بدافزار معروف دیگری به نام Kazuar دارد. بدافزار Kazuar که مبتنی بر .NET است، برای اولین بار در سال ۲۰۱۷ میلادی شناسایی شد. در اوایل ماه گذشته، مهاجمان از نرم‌افزار Orion و نصب بدافزار Sunburst روی آن، برای نفوذ به سازمان‌های دولتی استفاده کردند. حال محققان کسپرسکی اعلام کرده‌اند که کد بدافزار Sunburst ویژگی‌های مشابهی با بدافزار روسی Kazuar دارد. برخی از این ویژگی‌ها عبارتند از؛‌

  • Sunburst و Kazuar، هر دو توسط یک گروه توسعه داده‌ شده‌اند.
  • توسعه‌دهندگان Sunburst برای برخی ایده‌ها و کدهای آن، از بدافزار Kazuar الهام گرفته‌اند.
  • گروه استفاده‌کننده از Kazuar (Turla) و گروه استفاده‌کننده از Sunburst (UNC2452 یا Dark Halo)، بدافزار خود را از یک منبع دریافت کرده‌اند.
  • برخی از توسعه‌دهندگان Kazuar با به همراه‌داشتن مجموعه ابزارهای خود، به تیم دیگری ملحق شده‌اند.

سایر اشتراکات بین این دو بدافزار، شامل استفاده از الگوریتمی برای خاموش‌ماندن در یک دوره تصادفی بین اتصالات به سرور فرمان و کنترل (C2)، استفاده گسترده از هش FNV-1a برای پنهان‌کردن کد مخرب و استفاده از الگوریتم هشینگ برای تولید شناسه منحصر به فرد برای قربانیان است. با این حال، محققان خاطر نشان کردند که ممکن است توسعه‌دهندگانSunburst، به صورت عمدی از این پیوندها به‌عنوان یک پرچم دروغین استفاده کرده باشند تا گروه دیگری را مقصر جلوه دهند.

منبع

پست‌های مشابه

Leave a Comment

4 × سه =