【腾讯云】境外1核2G服务器低至2折,半价续费券限量免费领取!

搜搜吧

查看: 89|回复: 0

实锤了?SolarWinds攻击者与俄罗斯黑客组织存在关联信息

[复制链接]

超级钻石贵宾会员

1万

主题

2万

帖子

5万

积分

Rank: 1

UID
15343
威望
-561
贡献
8107
在线时间
381 小时
注册时间
2015-10-12
发表于 2021-1-12 16:17:19 | 显示全部楼层 |阅读模式

关于SolarWinds供应链攻击的归因工作牵动着全球安全界的注意力。此前,美国政府多位官员声称攻击者很可能是俄罗斯,一些未经证实的报道称该威胁组织为APT29和Cozy Bear。但是都没有公布确凿的或者详细的证据。


周一,卡巴斯基报道(https://securelist.com/sunburst-backdoor-kazuar/99981/)称,在SolarWinds攻击者投放的Sunburst恶意软件与Kazuar之间发现了“有趣”的关联。“Sunburst和Kazuar的各代人的几个代码片段非常相似。我们应该指出,尽管类似,但这些代码块(例如UID计算子例程和FNV-1a哈希算法的用法以及睡眠循环)仍然不是100%相同。”

Kazuar是自2015年以来始终活跃的.NET后门程序,2017年由Palo Alto Networks首次详细介绍。

虽然还没有人明确地将Kazuar与已知的威胁行为者联系起来,但是Palo Alto Networks在有关Kazuar的初次报告时发现的一些证据表明,Turla可能已经使用了它,后者是与俄罗斯有关联的一个臭名昭著的网络间谍组织,在过去的14年中攻击了许多政府组织。

根据卡巴斯基的说法,过去几年中,Kazuar与其他Turla工具多次被发现相同漏洞。Turla黑客可能已经将Kazuar用作第二阶段的后门程序。

卡巴斯基指出,目前发现的关联信息尚不足以确认攻击者,大致存在几种可能:

  • Sunburst和Kazuar可能是同一个小组开发的,但是Sunburst的开发人员也可能只使用了Kazuar的一些代码或构想,未必存在直接关联。
  • SolarWinds攻击者和使用Kazuar的小组都可能从相同的来源获取了代码。
  • Kazuar的开发人员也可能出于某种原因转移到Sunburst团队。
  • Sunburst和Kazuar之间的相似之处只是一个伪装信号,用来误导调查人员。

过年了,祝各位新年快乐
Powered by www.sosoba.org Copyright © 2013-2021 搜搜吧社区 小黑屋|手机版|Archiver|地图|联系站长|腾讯云代金券|搜搜影视|seo优化服务|搜搜吧
广告服务/项目合作/会员购买:QQ 侵权举报邮箱: fuwu-sosoba@qq.com  搜搜吧建站时间:创建于2013年07月23日
免责声明:本站所有的内容均来自互联网以及第三方作者自由发布,版权归原作者版权所有,搜搜吧不承担任何的法律责任,若有侵权请来信告知,我们立即删除!
版权声明:搜搜吧影视资源均收集自互联网,没有提供影片资源存储和下载,也未参与录制上传,若本站收录的资源涉及您的版权或知识产权或其他利益,我们会立即删除

GMT+8, 2021-1-23 06:53 , Processed in 0.013230 second(s), 7 queries , MemCached On.

快速回复 返回顶部 返回列表