SolarWinds 사이버 공격에 대한 지속적인 조사를 통해 잠재적 인 용의자가 밝혀졌습니다. 러시아의 유명한 해킹 그룹 예비 보고서가 처음 가정 한 것은 아닙니다.
사실
러시아에 기반을 둔 사이버 보안 회사 인 카스퍼 스키 (Kaspersky)는 월요일 팬시 베어라고도 알려진 APT29가 아닌 다른 해킹 그룹을 가리키는 새로운 증거를 발표했습니다. SolarWinds 악성 코드 코드를 이전 해킹의 다른 악성 소프트웨어와 비교 한 결과 18 세의 연구원 인 Gregory Kucherin은 Kazuar라는 해킹 도구와 몇 가지 유사점을 발견했습니다. 사이버 보안 회사는 하나 또는 두 개의 유사점이 우연의 일치로 이어질 수 있음을 인정하지만 SolarWinds 맬웨어는 Kazuar 맬웨어의 세 가지 고유 한 속성, 즉 맬웨어가 숨겨지는 방법, 피해자 식별 및 추적 프로세스, 특정 계산과 일치합니다. 멀웨어가 정보를 홈베이스로 다시 보내기 전에 임의의 휴면 기간을 결정하는 공식.
관련 : 해킹 노출 : 적으로부터 배우기-대화 형 세션
유사점은 단순한 코드 잘라 내기 및 붙여 넣기를 뛰어 넘습니다. 대신 Kazuar와 SolarWinds 공격에 사용 된 UNC2452, Dark Halo 및 SunBurst라고하는 악성 코드를 모두 코딩 한 개인이나 개인이 유사한 코딩을하는 것으로 보입니다. 스타일. 코딩에는 손글씨와 비슷한 개인화 된 기술과 패턴이 포함되어 있기 때문에 이러한 텔은 단순한 코드 해제보다 더 많은 정보를 제공 할 수 있습니다.
멀웨어는 수사관을 방해하기 위해 만들어진 모방 고양이 일 수 있습니다. 그러나 유사점의 모호함과 코드 사용 타임 라인으로 인해 이러한 가능성은 거의 없습니다. 즉, Kazuar 악성 코드 코드의 특정 부분이 실제로 SunBurst 해킹 이후에 배포되었습니다. 다른 가능성으로는 SolarWinds 해커에 의한 Kazuar 악성 코드 구입 또는 이전 고용주로부터 코드를 빌린 한 명 이상의 해커에 의한 경력 이동 및 / 또는 공동 작업이 포함됩니다. 마지막 전망은 Kazuar를 처음 배포 한 해킹 그룹도이 해킹에 대한 책임이 있다는 것입니다.
관련 : 악의적 인 해커가 조직을 파괴하기 전에 모니터링 및 식별
Kazuar 악성 코드의 창시자 인 Turla는 알려진 사이버 스파이 그룹입니다. 그들의 고도로 정교한 해킹 도구는 2004 년으로 거슬러 올라가며 끊임없이 진화하고 있습니다. 이 그룹은 Venomous Bear and Snake라고도하며 러시아 연방 보안 서비스 인 FSB와 연결되어 있습니다. 그들은 가장 최근에 중동 전역에 걸친 글로벌 스파이 관련 공격을 전문으로합니다.
하지만 사이버 보안 전문가들은 Turla가 공격에 대해 직접적으로 비난하지 않도록 경고합니다. 사실, 많은 사람들은 Turla가 직접적인 책임이 전혀 없다고 생각합니다. 이 발견으로 이어지는 것은 해킹이 러시아에서 시작되었거나 러시아 요원의 도움으로 시작되었다는 가정이 증가하고 있다는 것입니다. 정부가 승인 한 행위인지 불법 행위인지는 아직 입증되지 않았습니다. 러시아는 계속해서 어떠한 책임도 부인하고 있습니다.
