Hints voor Russische herkomst SolarWinds-backdoor

Onderzoekers van de Russische securityleverancier Kaspersky hebben zich, net als vele collega's internationaal, gestort op het ontleden van de zogenoemde Sunburst-backdoor in SolarWinds' Orion-software. Daaruit komt nu opvallende informatie naar voren, die een tentatieve link legt met de geheime dienst van de Russische overheid. Vorige week hebben de Amerikaanse inlichtingendiensten en overheidsinstanties al met beschuldigende vinger naar Rusland gewezen.

Link via mogelijke link

Die formele verklaring krijgt nu enige technische onderbouwing, zij het niet keihard of direct. "Terwijl we keken naar de Sunburst-backdoor ontdekten we functies die overlappen met een eerder geïdentificeerde backdoor die bekend is als Kazuar", schrijven drie experts van Kaspersky op basis van hun technische analyse. "Kazuar is een .NET-backdoor die voor het eerst is gemeld door Palo Alto in 2017." Die Amerikaanse securityleverancier heeft die stiekeme ingang toen gelinkt aan de hackgroep Turla. De leden daarvan spreken vloeiend Russisch, meldt onder meer Ars Technica. De groep zou banden hebben met de Russische inlichtingendienst FSB, weet The Register te melden.

Kaspersky gaat in de blogpost niet zo ver, en merkt nog op dat er over Kazuar vooralsnog geen publieke bekendmaking is geweest van een harde toewijzing (attributie) voor de herkomst. Deze backdoor wordt al sinds 2015 ingezet, en dat in verschillende versies. Eigen observaties door de Russische securityleverancier geven wel aan dat Kazuar inderdaad samen met andere Turla-tools is gebruikt in meerdere hacks gedurende de afgelopen jaren. Nu met de analyse van Sunburst wordt deze lijn verder doorgetrokken: de backdoor in SolarWinds-software en Kazuar vertonnen opvallende overlap.

Handwerk herkennen

Zo blijken enkele ingebouwde algoritmes overeen te komen, onthullen de Kaspersky-experts. Net als uitgebreid gebruik in beide stuks malware van de FNV-1a hash voor versleuteling. Dat detail trok als eerste de aandacht van de security-onderzoekers. Zij hebben toen gezocht naar andere malware die datzelfde algoritme gebruikt, waaronder dus de aan Turla gelinkte backdoor Kazuar. Op zich is deze hash-functie niet uniek voor Kazuar en Sunburst, geven de drie malware-ontleders aan in hun blogpost.

Terwijl de overlappende code kan betekenen dat de daders tot een en dezelfde groep behoren, zijn er andere mogelijkheden om de overeenkomsten te verklaren. Zo kan het het werk zijn van een developer die eerst aan de ene en later aan de andere backdoor heeft gewerkt, al dan niet in dienst van achtereenvolgende APT-groepen (advanced persistent threat) óf als freelancer voor zulke hackgroeperingen.

Of zelfde toeleverancier?

Een andere mogelijkheid is dat de makers van Sunburst de complexe code van het oudere Kazuar hebben uitgevogeld en gekopieerd, al dan niet om een vals spoor te planten. Tot slot is het ook mogelijk dat er sprake is van dezelfde backdoormaker voor verschillende aanvallers. De uitvoerders van de grote hackaanval via de SolarWinds-backdoor op de Amerikaanse overheid zouden zich dan tot dezelfde toeleverancier hebben gewend als aanvallers die eerder Kazuar hebben ingezet.

De Kaspersky-onderzoekers roepen collega's wereldwijd op om deze overeenkomsten te onderzoeken en meer feiten te achterhalen over Kazuar en de herkomst van Sunburst. Daarbij wordt terugverwezen naar de geruchtmakende WannaCry-malware die internationaal flinke schade heeft aangericht. In de eerste dagen na die hackaanval waren er weinig tekenen dat die kwaadaardige code gelinkt was aan de Lazarus-hackgroepering. Na verloop van tijd - en veel security-onderzoek - kwam er meer en meer bewijs, waarmee onder meer Kaspersky deze aanval kon toewijzen aan Lazarus.