Kaspersky uzmanları, 2017'de Palo Alto tarafından bildirilen ve dunya capındaki siber casusluk saldırılarında kullanılan ".NET cercevesi" kullanılarak yazılmış bir arka kapı olan Kazuar ile ortuşen bir dizi ozellik keşfetti.
Kaspersky acıklamasına gore, 13 Aralık 2020'de FireEye, Microsoft ve SolarWinds, SolarWinds'in Orion BT muşterilerine karşı kullanılan, onceden bilinmeyen yeni bir kotu amaclı yazılım olan "Sunburst" isimli buyuk ve karmaşık bir tedarik zinciri saldırısını keşfettiğini duyurdu. Kaspersky uzmanları, Sunburst ile kurbanın makinesine uzaktan erişim sağlayan kotu amaclı yazılım turu olan Kazuar arka kapılarının bilinen surumleri arasında ozel kod benzerlikleri buldu. Yeni bulgular, araştırmacıların saldırının kaynağını ortaya cıkarmasına yardımcı olabilecek yeni ipucları sağlıyor. Kodlardaki benzerlikler, Kazuar ve Sunburst arasında bir bağlantı olduğunu duşunduruyor.

Sunburst ve Kazuar arasındaki ortuşen ozellikler, kurbana yonelik UID oluşturma algoritmasını, uyku algoritmasını ve FNV-1a hash değerinin kapsamlı kullanımını iceriyor. Uzmanlara gore, bu kod parcaları yuzde 100 ozdeş değil. Bu da Kazuar ve Sunburst'un ilişkili olabileceğini duşundurse de ikisi arasındaki ilişkinin doğası hala tam olarak netleşmiş değil.
Sunburst kotu amaclı yazılımı ilk kez devreye alındıktan sonra Şubat 2020'de Kazuar gelişmeye devam etti. Kazuar'ın 2020 varyantları, bazı acılardan Sunburst'a daha da benziyor.
Genel olarak Kazuar'ın evrimleştiği donemde uzmanlar, Sunburst'a benzer onemli ozelliklerin eklendiği surekli bir geliştiğini gozlemledi. Kazuar ve Sunburst arasındaki bu benzerlikler dikkate değer olmakla birlikte bunun sebebine dair pek cok ihtimal bulunuyor. Bunlar arasında Sunburst ve Kazuar'ın aynı grup tarafından geliştirilmesi, Sunburst geliştiricilerinin Kazuar'dan ilham alması, Kazuar geliştiricilerinden bir kısmının Sunburst ekibine gecmesi veya Sunburst ve Kazuar'ın aynı kotu amaclı kaynaktan beslenmesi sayılabilir.
"Ekibinizin en son tehdit istihbaratına erişimini sağlayın"
Acıklamada goruşlerine yer verilen Kaspersky Kuresel Araştırma ve Analiz Ekibi Direktoru Costin Raiu, "Belirlenen bağlantı SolarWinds saldırısının arkasında kimin olduğunu acığa cıkarmıyor, ancak araştırmacıların ilerlemesine yardımcı olabilecek daha fazla bilgi sağlıyor. Dunyadaki diğer araştırmacıların bu benzerlikleri araştırmasının, Kazuar ve SolarWinds ihlalinde kullanılan Sunburst'un kokeni hakkında daha fazla bilgi edinme noktasında onemli olduğuna inanıyoruz. Gecmiş deneyimlerden yola cıkarak WannaCry saldırısına donup baktığımızda, saldırının ilk gunlerinde onları Lazarus grubuna bağlayan cok az ipucu vardı. Zamanla daha fazla kanıt ortaya cıktı ve bizim ve diğerlerinin bu ikisini birbirine bağlamamıza izin verdi. Bu konu hakkında daha fazla araştırma yapılması, eksik halkaları birleştirmek adına cok onemli." ifadelerini kullandı.
Kaspersky, Sunburst gibi kotu amaclı yazılımlardan korunmak icin şunları oneriyor:
"SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, Kaspersky tarafından 20 yıldan fazla bir suredir toplanan siber saldırı verilerini ve icgoruleri sağlar. Kullanıcıların dosyaları, URL'leri ve IP adreslerini kontrol etmesine izin veren ozelliklere ucretsiz erişim icin bu adrese gidebilirsiniz. Kendi soruşturmalarını yurutmek isteyen kuruluşlar, Kaspersky Threat Attribution Engine'den yararlanabilir. Bu sistem keşfedilen kotu amaclı kodları kotu amaclı yazılım veri tabanlarıyla eşleştirir ve kod benzerliklerine dayanarak, daha once ortaya cıkan saldırı kampanyalarıyla ilişkilendirir."
Kaynak: Anadolu Ajansı / Tolga Yanık