關(guān)于SolarWinds供應(yīng)鏈攻擊的歸因工作牽動(dòng)著全球安全界的注意力。此前，美國(guó)政府多位官員聲稱(chēng)攻擊者很可能是俄羅斯，一些未經(jīng)證實(shí)的報(bào)道稱(chēng)該威脅組織為APT29和Cozy Bear。但是都沒(méi)有公布確鑿的或者詳細(xì)的證據(jù)。

[[375331]]

周一，卡巴斯基報(bào)道(https://securelist.com/sunburst-backdoor-kazuar/99981/)稱(chēng)，在SolarWinds攻擊者投放的Sunburst惡意軟件與Kazuar之間發(fā)現(xiàn)了“有趣”的關(guān)聯(lián)。“Sunburst和Kazuar的各代人的幾個(gè)代碼片段非常相似。我們應(yīng)該指出，盡管類(lèi)似，但這些代碼塊(例如UID計(jì)算子例程和FNV-1a哈希算法的用法以及睡眠循環(huán))仍然不是100%相同。”

Kazuar是自2015年以來(lái)始終活躍的.NET后門(mén)程序，2017年由Palo Alto Networks首次詳細(xì)介紹。

雖然還沒(méi)有人明確地將Kazuar與已知的威脅行為者聯(lián)系起來(lái)，但是Palo Alto Networks在有關(guān)Kazuar的初次報(bào)告時(shí)發(fā)現(xiàn)的一些證據(jù)表明，Turla可能已經(jīng)使用了它，后者是與俄羅斯有關(guān)聯(lián)的一個(gè)臭名昭著的網(wǎng)絡(luò)間諜組織，在過(guò)去的14年中攻擊了許多政府組織。

根據(jù)卡巴斯基的說(shuō)法，過(guò)去幾年中，Kazuar與其他Turla工具多次被發(fā)現(xiàn)相同漏洞。Turla黑客可能已經(jīng)將Kazuar用作第二階段的后門(mén)程序。

卡巴斯基指出，目前發(fā)現(xiàn)的關(guān)聯(lián)信息尚不足以確認(rèn)攻擊者，大致存在幾種可能：

• Sunburst和Kazuar可能是同一個(gè)小組開(kāi)發(fā)的，但是Sunburst的開(kāi)發(fā)人員也可能只使用了Kazuar的一些代碼或構(gòu)想，未必存在直接關(guān)聯(lián)。
• SolarWinds攻擊者和使用Kazuar的小組都可能從相同的來(lái)源獲取了代碼。
• Kazuar的開(kāi)發(fā)人員也可能出于某種原因轉(zhuǎn)移到Sunburst團(tuán)隊(duì)。
• Sunburst和Kazuar之間的相似之處只是一個(gè)偽裝信號(hào)，用來(lái)誤導(dǎo)調(diào)查人員。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文