ผู้เชี่ยวชาญของแคสเปอร์สกี้ตรวจพบความคล้ายคลึงหลายจุดในโค้ดของ Sunburst กับแบ็กดอร์ Kazuar ซึ่งเป็นมัลแวร์ที่ยึดเครื่องและใช้งานจากระยะไกล การคันพบในจุดนี้ให้ข้อมูลเชิงลึกหลายประการที่เป็นประโยชน์แก่นักวิจัยในการสืบสวนเกี่ยวกับการโจมตีเมื่อวันที่ 13 ธันวาคม ซึ่งบริษัท FireEye, Microsoft และ SolarWinds ได้ชี้แจงข่าวการค้นพบการโจมตีซัปพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า “Sunburst” จนเป็นปฏิบัติการขนาดใหญ่และมีความซับซ้อนที่เข้าโจมตีลูกค้าของ SolarWinds’ Orion IT
คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า ความเกี่ยวข้องเชื่อมโยงที่พบไม่ได้ชี้ว่าใครเป็นผู้อยู่เบื้องหลังการโจมตี SolarWinds อย่างไรก็ตาม ก็ได้รับรู้ข้อมูลเชิงลึกเพิ่มมากขึ้นที่เป็นตัวสนับสนุนการทำงานสืบสวนของทีมนักวิจัย
“เราเชื่อว่าเป็นเรื่องสำคัญที่นักวิจัยทั่วโลกร่วมกันสืบสวนความคล้ายคลึงเหล่านี้ และมุ่งมั่นที่จะสืบค้นเบื้องหลังเกี่ยวกับ Kazuar และที่มาของ Sunburst มัลแวร์ที่ใช้ในการละเมิดกรณี SolarWinds เมื่อพิจารณาจากประสบการณ์ในอดีต เช่น กรณี WannaCry ในช่วงแรกจะมีข้อมูลน้อยมากที่เชื่อมโยงไปยังกลุ่มลาซารัส ต่อมา จึงปรากฏหลักฐานเพิ่มขึ้นจนทำให้ทีมงานของเราและของอีกหลายหน่วยงานสามารถเชื่อมโยงทั้ง 2 ส่วนเข้าด้วยกันได้ความมั่นใจ และการทำวิจัยเจาะลึกในเรื่องนี้ถือว่ามีความสำคัญอย่างยิ่งต่อการจับต้นชนปลายเรื่องราวทั้งหมดเข้าด้วยกัน”
ทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบสิ่งหนึ่งขณะศึกษาแบ็กดอร์ Sunburst นั่นคือ ฟีเจอร์จำนวนหนึ่งที่ทับซ้อนคาบเกี่ยว (overlap) กับฟีเจอร์ในแบ็กดอร์ที่ถูกพบมาแล้วที่ชื่อ Kazuar ซึ่งใช้ .NET framework เขียนขึ้นมาก่อน ตามที่ Palo Alto ได้รายงานไว้เมื่อปี 2560 และใช้ในการก่อจารกรรมทั่วโลก ความคล้ายคลึงที่พบในโค้ดหลายจุดบ่งชี้ความเชื่อมโยงระหว่าง Kazuar และ Sunburst แม้ว่าจะยังไม่ชัดเจนในเรื่องการทำงานก็ตาม โดยฟีเจอร์ที่มีความเหมือนกันระหว่าง Sunburst และ Kazuar นี้รวมเหยื่อ UID generation algorithm ด้วย ซึ่งเป็นอัลกอริธึมที่ไม่เคลื่อนไหว และการใช้ต่อยอดของ FNV-1a hash ตามที่ผู้เชี่ยวชาญพบ ชิ้นส่วนของโค้ดเหล่านี้ไม่เหมือนกันทั้งหมด 100% บ่งชี้ว่ามีความเป็นไปได้ที่ Kazuar และ Sunburst มีความเกี่ยวข้องกัน แม้รายละเอียดจะยังไม่ชัดเจน
หลังจากที่มัลแวร์ Sunburst ถูกนำออกมาใช้งานครั้งแรกเมื่อเดือนกุมภาพันธ์ ปี 2563 นั้น Kazuar ก็วิวัฒนาการเปลี่ยนแปลงมาอย่างต่อเนื่อง และต่อมาในปีเดียวกันก็พบ variants หลายตัวที่มีความคล้ายคลึงกับหลายส่วนของ Sunburst มากยิ่งขึ้น โดยรวมระหว่างช่วงที่ Kazuar ดำเนินการแปลงกายอยู่นั้น ผู้เชี่ยวชาญก็ได้สังเกตวิวัฒนาการหลายจุดในฟีเจอร์ และพบความคล้ายคลึงกับ Sunburst ในฟีเจอร์สำคัญ อาจเป็นเพราะ Sunburst ถูกพัฒนาขึ้นโดยกลุ่มเดียวกับกลุ่มที่พัฒนา Kazuar ผู้พัฒนา Sunburst ใช้ Kazuar เป็นแรงส่งไปจุดต่อไป การที่ผู้พัฒนาย้ายทีม หรือทั้ง 2 กลุ่มอาจใช้มัลแวร์จากแหล่งเดียวกันก็เป็นได้
คำแนะนำจากแคสเปอร์สกี้เพื่อเลี่ยงความเสี่ยงจากการติดเชื้อมัลแวร์ เช่น Sunburst คือบริษัทควรสนับสนุนทีม SOC ด้วยข้อมูลวิเคราะห์ล่าสุดเกี่ยวกับภัยไซเบอร์ พอร์ทัลของแคสเปอร์สกี้ Kaspersky Threat Intelligence Portal เปิดโอกาสให้บริษัทหน่วยงานองค์กรเข้ามาเรียกดูข้อมูล TI ได้ โดยจะมีข้อมูลการโจมตีไซเบอร์และข้อมูลวิเคราะห์ที่แคสเปอร์สกี้ได้รวบรวมไว้มากกว่า 20 ปี โดยไม่มีค่าใช้จ่าย และสามารถที่ตรวจสอบไฟล์, URLs และ IP addresses ที่นี่