La investigación en curso sobre el ataque cibernético SolarWinds revela un posible sospechoso, y no fueron los notorios informes preliminares del grupo de piratas informáticos ruso que se asumieron inicialmente.
Los Hechos
La firma de seguridad cibernética con sede en Rusia, Kaspersky, publicó nuevas pruebas el lunes que apuntan a un grupo de piratería que no es el sospechoso APT29, también conocido como Fancy Bear. Al comparar el código de malware SolarWinds con otro software malicioso de hacks anteriores, el investigador de 18 años Gregory Kucherin reconoció varias similitudes con una herramienta de hackeo llamada Kazuar. La firma de ciberseguridad reconoce que una o dos similitudes podrían atribuirse a la coincidencia, pero el malware SolarWinds se alineó con tres propiedades distintas del malware Kazuar: el método en el que se escondió el malware, el proceso de identificación y seguimiento de la víctima y ciertos cálculos. y fórmulas que determinan un período de inactividad aleatorio antes de que el malware envíe información a su base de operaciones.
Relacionado: Hackeo expuesto: aprender de los adversarios: una sesión interactiva
Las similitudes van más allá del simple corte y pegado de código. En cambio, parece que el individuo o individuos que codificaron tanto Kazuar como el malware utilizado en el ataque SolarWinds, denominado UNC2452, Dark Halo y SunBurst, tienen una codificación similar. estilos. Un indicador de este tipo puede ofrecer más información que la simple extracción de código, porque la codificación contiene técnicas y patrones personalizados similares a la forma en que lo hace la escritura a mano.
Es posible que el malware sea un imitador creado para desviar a los investigadores. Sin embargo, la oscuridad de las similitudes y la línea de tiempo del uso del código hace que esta posibilidad sea poco probable. Es decir, la implementación de ciertas partes del código de malware de Kazuar es posterior al hack de SunBurst. Otras posibilidades incluyen la compra del malware Kazuar por parte de los piratas informáticos de SolarWinds o un cambio de carrera y / o esfuerzo de colaboración por parte de uno o más piratas informáticos que tomaron prestado el código de su empleador anterior. Una perspectiva final es que el grupo de piratas informáticos que implementó Kazuar por primera vez también es responsable de este ataque.
Relacionado: Supervise e identifique a los piratas informáticos maliciosos antes de que inutilicen su organización
Turla, el creador del malware Kazuar, es un conocido grupo de ciberespionaje. Sus herramientas de piratería altamente sofisticadas datan de 2004 y están en constante evolución. El grupo también se conoce como Venomous Bear and Snake y está vinculado al FSB, el servicio de seguridad federal de Rusia. Se especializan en ataques globales relacionados con el espionaje, más recientemente en Oriente Medio.
Aún así, los expertos en seguridad cibernética advierten contra la acusación directa de Turla por el ataque. De hecho, muchos creen que Turla no es directamente responsable en absoluto. Lo que sí lleva el descubrimiento es una suposición cada vez mayor de que el ataque se originó en Rusia o con la ayuda de un operativo ruso. Aún no se ha demostrado si fue un acto deshonesto o sancionado por el gobierno. Rusia sigue negando cualquier responsabilidad.
