Les chercheurs en sécurité de Kaspersky ont trouvé des similitudes entre l'attaque et le programme backdoor Kazuar, qui serait assimilé à la Russie.
Certains en subissent encore les dégâts. Le 13 décembre dernier, l'éditeur de solutions de cybersécurité FireEye, le géant Microsoft et le fournisseur de logiciels SolarWinds annonçaient avoir découvert un malware des plus complexes, alors totalement inconnu. Baptisé "Sunburst", le cheval de Troie avait frappé 18 000 des 33 000 clients de la plateforme Orion de SolarWinds, notamment utilisée par les services gouvernementaux américains. L'un des grands noms de la cybersécurité, Kaspersky, a fait de grandes avancées en identifiant le chaînon manquant qui rattacherait l'attaque à la Russie.
Un lien avec une porte dérobée identifiée en 2017
Les chercheurs de Kasperksy ont annoncé, lundi 11 janvier, avoir trouvé certaines similitudes de code spécifiques entre le malware Sunburst et des versions plus connues de Kazuar, une porte dérobée (ou backdoor) assimilée à des pirates - présumés - russes.
Cette porte dérobée, qui se base sur la structure Microsoft .NET, fut signalée pour la première fois par les spécialistes cyber de l'Unité 42 de Palo Alto Networks, en 2017. À l'époque, les chercheurs l'avaient définie comme un trojan de porte dérobée depuis utilisée partout dans le monde dans des campagnes d'espionnage informatique.
Si Kaspersky affirme ignorer, pour l'heure, la nature du lien entre Kazuar et Sunburst, l'entreprise est formelle : les similitudes de code sont bien réelles.
Plusieurs points communs entre Sunburst et le "suspect"
Les liens décelés entre Kazuar et Sunburst concernent notamment l'UID, l'algorithme de génération de l'identifiant utilisateur de la victime, mais aussi l'algorithme de veille et l'utilisation extensive du hachage FNV-1a. Cette dernière fonctionnalité permet "d'obscurcir les comparaisons de chaînes de caractères."
Les fragments de code identifiés ne sont pas tout à fait similaires à 100%, indique Kaspersky, mais l'entreprise cyber suggère bien que Kazuar et Sunburst sont liés. "Après le premier déploiement du malware Sunburst, en février 2020, Kazuar a continué à évoluer et les variantes ont encore plus de points communs avec celles analysées à partir des échantillons de Sunburst", explique l'entreprise russe.
Kaspersky a relevé plusieurs points communs entre les mutations de Kazuar et les échantillons de Sunburst, comme leur origine commune (le groupe Turla, affilié à la Russie si l'on en croit les autorités estoniennes) ; le fait que les développeurs de Sunburst s'inspirent de Kazuar ; ou celui que les malwares des deux groupes proviennent de la même source.
Costin Raiu, directeur du GReAT chez Kaspersky, conseille de "poursuivre les recherches autour de cette attaque", pour intensifier la collecte d'informations. Le chercheur appelle d'ailleurs d'autres experts à se pencher sur l'attaque de SolarWinds.
Source : communiqué de presse