أعلنت FireEye و Microsoft و SolarWinds عن اكتشاف هجوم كبير ومتطور لسلسلة التوريد أدى إلى نشر برنامج ضار جديد غير معروف سابقًا “Sunburst” تم استخدامه ضد عملاء Orion IT من SolarWinds.

استطاع خبراء من كاسبرسكي تحديد العديد من أوجه الشبه في الشيفرات البرمجية بينالإصدارات المعروفة من المنفذ الخلفيKazuar، أحد البرمجيات الخبيثة التي تتيح الوصول عن بُعد إلى جهاز الضحية، والبرمجية الخبيثةSunburst،

التي استخدِمت في شنّ هجوم واسع ومعقّد من نوع هجمات سلاسل التوريد، استهدف مستخدمي منصة Orionمن “سولار ويندز” (SolarWinds). ولم تكن البرمجية Sunburst معروفة قبل هذا الهجوم الذي كشفت عنه “سولار ويندز” في 13 ديسمبر الماضي في إعلان مشترك مع “مايكروسوفت” و”فاير آي”. ومنحت النتائج الجديدة الباحثين قدرة الاطلاع على ما قد يفيدهم في التحقيق في هذا الهجوم.

واكتشف خبراء كاسبرسكي أثناء دراستهم المنفذ الخلفيSunburst عددًا من المزايا المشتركة مع نظيرهKazuar الذي كان قد حُدّد سابقًا بوصفه منفذًا خلفيًاجرت برمجته باستخدام.NET،

وكانأبلغ عنه لأول مرة عن طريق شركة “بالو آلتو”في العام 2017 واستخدم في هجمات تجسس رقمي شُنت في جميع أنحاء العالم. وتشير أوجه الشبه المتعددة في الشيفرة البرمجية إلى وجود علاقة بين Kazuar وSunburst، وإن كانت ذات طبيعة غير محددة.

وتتضمن المزايا المتداخلة بين البرمجيتينوجود خوارزمية إنشاء معرّف UID للضحية، وخوارزمية “التنويم” والاستخدام المكثف لخوارزمية FNV-1a. وفقًا للخبراء، فإن هذه الأجزاء في الشيفرات البرمجية ليست متطابقة تمامًا، ما يشير إلى احتمال وجود علاقة بين Kazuar وSunburst، بالرغم من أن طبيعة هذه العلاقة ما زالت غير واضحة تمامًا.

وبعد استخدام البرمجية الخبيثة Sunburst لأول مرة في فبراير 2020، استمر تطويرKazuar وأصبحت إصداراته اللاحقة في العام 2020 أكثر تشابهًا في بعض الجوانب مع Sunburst.

وبشكل عام، خلال السنوات التي شهدت تطوّر Kazuar، لاحظ الخبراء تطورًا مستمرًا بإضافة مزايا مهمة تشبه Sunburst. ويمكن أن تُعزى أوجه الشبه الجديرة بالملاحظة هذه بين Kazuar وSunburstإلى الكثير من الأسباب، مثل تطوير Sunburst من قبل المجموعة نفسهاالتي طوّرت Kazuar،

أو أن مطوري Sunburstاستلهموا Kazuarفي عملهم، أو انتقال أحد مطوري Kazuar إلى فريق تطويرSunburst، أو حصول كلتا المجموعتين اللتين تقفان وراء Sunburst وKazuar على البرمجية الخبيثة من المصدر نفسه.

وقال كوستين رايو مدير فريق البحث والتحليل العالمي لدى كاسبرسكي، إن العلاقة التي تم تحديدهابين البرمجيتين الخبيثين لا تكشف عمن كان يقف وراء هجوم SolarWinds،

ولكنها مع ذلك، تتيح المزيد من الأفكار التي يمكن أن تساعد الباحثين على المضي قدمًا في هذا التحقيق، مؤكدًا أهمية انخراط باحثين آخرين من حول العالم في التحقيق في أوجه الشبه هذه ومحاولة اكتشاف المزيد من الحقائق حول Kazuar وأصل Sunburst،

البرمجية الخبيثةالمستخدمة في حادث اختراق “سولار ويندز”. وأضاف: “انطلاقًا من التجربة السابقة، وبالنظر مثلًا إلى هجوم WannaCryالشهير، ظهرت في الأيام الأولى أدلة قليلة جدًا تربطه بمجموعة Lazarus. وبمرور الوقت، ظهرت المزيد من الأدلة وسمحت لنا ولآخرين، بثقة عالية، بربط الهجوم بهذه العصابة، لذلك ثمّة حاجة إلى مزيد من البحث حول Kazuarللعثور على الحلقة المفقودة”.