کمیته رکن چهارم – به گزارش محققان امنیتی، بدافزار Sunburst شناساییشده در نرمافزار مانیتورینگ شبکه Orion، شباهت زیادی به بدافزار معروف دیگری به نام Kazuar دارد.
بدافزار Kazuar که مبتنی بر .NET است، برای اولین بار در سال ۲۰۱۷ میلادی شناسایی شد. در اوایل ماه گذشته، مهاجمان از نرمافزار Orion و نصب بدافزار Sunburst روی آن، برای نفوذ به سازمانهای دولتی استفاده کردند. حال محققان کسپرسکی اعلام کردهاند که کد بدافزار Sunburst ویژگیهای مشابهی با بدافزار روسی Kazuar دارد. برخی از این ویژگیها عبارتند از؛
Sunburst و Kazuar، هر دو توسط یک گروه توسعه داده شدهاند.
توسعهدهندگان Sunburst برای برخی ایدهها و کدهای آن، از بدافزار Kazuar الهام گرفتهاند.
گروه استفادهکننده از Kazuar (Turla) و گروه استفادهکننده از Sunburst (UNC2452 یا Dark Halo)، بدافزار خود را از یک منبع دریافت کردهاند.
برخی از توسعهدهندگان Kazuar با به همراهداشتن مجموعه ابزارهای خود، به تیم دیگری ملحق شدهاند.
سایر اشتراکات بین این دو بدافزار، شامل استفاده از الگوریتمی برای خاموشماندن در یک دوره تصادفی بین اتصالات به سرور فرمان و کنترل (C2)، استفاده گسترده از هش FNV-1a برای پنهانکردن کد مخرب و استفاده از الگوریتم هشینگ برای تولید شناسه منحصر به فرد برای قربانیان است. با این حال، محققان خاطر نشان کردند که ممکن است توسعهدهندگانSunburst، به صورت عمدی از این پیوندها بهعنوان یک پرچم دروغین استفاده کرده باشند تا گروه دیگری را مقصر جلوه دهند.
منبع : The Hacker News
