Investigadores de Kaspersky informan que han encontrado pistas que sugieren un vínculo entre el ataque SolarWinds y las herramientas de hacking utilizadas por el grupo ruso Turla en el pasado.
Según los investigadores, el código fuente de SunBurst, el malware utilizado por los piratas informáticos SolarWinds, se superpone con la puerta trasera Kazuar que ha sido utilizada por el conocido grupo de hackers rusos Turla en el pasado para apuntar a varias embajadas y en Europa y en todo el mundo.
Después de que el asalto a SolarWinds fue descubierto el mes pasado, algunos medios de comunicación informaron que el grupo ruso Cozy Bear (APT29) fue responsable del ataque. Cozy Bear a menudo está vinculado al servicio de inteligencia extranjero ruso SVR.
Turla, por otro lado, se asocia generalmente con el FSB, otro servicio de inteligencia ruso. También es conocido por los nombres Serpiente y Oso Venenoso y tiene una larga historia de piratería centrada en el espionaje.
Origen ruso
A principios de este mes, las agencias de inteligencia estadounidenses dijeron que el asalto a SolarWinds era “probablemente de origen ruso” y parecía ser un esfuerzo de recolección de inteligencia, en lugar de un acto de guerra cibernética.
Los investigadores de Kaspersky dicen que han encontrado tres similitudes distintas entre el programa de puerta trasera SunBurst y el malware Kazuar de Turla.
Costin Raiu, el jefe del equipo de investigación y análisis global de Kaspersky, describió similitudes en la forma en que ambos tipos de malware intentan ocultar sus capacidades y funciones de los investigadores de seguridad, cómo sus operadores identifican objetivos potenciales, y las decisiones de sus operadores deciden cuándo el malware se vuelve latente para evitar la detección.
Los investigadores de Kaspersky no están afirmando que Turla está detrás del ataque SolarWinds, pero dijo que sus hallazgos sugieren que un grupo probablemente “inspiró” el otro, o que el malware fue comprado al mismo desarrollador, o incluso que los piratas informáticos SolarWind trataron de engañar a los expertos en seguridad mediante la plantación de “banderas falsas”. También es posible que “algunos de los desarrolladores de Kazuar se trasladaran a otro equipo, llevándose conocimientos y herramientas con ellos”, según los investigadores.
