L’operazione SolarWinds, cioè il grande attacco di cyberspionaggio denunciato lo scorso dicembre da FireEye, da Microsoft e dalla società produttrice del software vulnerabile (SolarWinds, appunto), è ancora in parte un mistero. Sappiamo che tecnicamente si è trattato di un attacco di supply chain, i cui autori si sono intrufolati nella catena di produzione del software Orion con delle modifiche del codice tese a creare una backdoor nelle reti dei clienti di SolarWinds. Clienti fra cui sfilano aziende di tutto il mondo (Microsoft inclusa), ma anche istituzioni ed enti governativi come il Pentagono, la Nasa, la Nsa, il servizio postale statunitense. Sono circa 18mila le organizzazioni rimaste esposte al rischio di spionaggio.
I sospetti dell’America fin da subito si sono indirizzati verso Mosca e più precisamente verso il gruppo hacker conosciuto come Cozy Bear o come Apt29, un gruppo sospettato di legami con il governo russo. Ora da Kaspersky (società che, ironia vuole, è di nazionalità russa) giungono nuovi dati a conferma dell’ipotesi di un’origine russa, senza però fare esplicito riferimento a Cozy Bear. Settimane fa l’azienda di cybersicurezza aveva analizzato il meccanismo dell’attacco e il funzionamento del suo malware vettore, battezzato Sunburst da FireEye.
Con ulteriori analisi, i ricercatori di Kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar, una tipologia di malware che fornisce l'accesso remoto al dispositivo preso di mira e che è stata impiegata in attacchi di spionaggio informatico in tutto il mondo. In passato la creazione di Kazur è stata attribuita a un gruppo autore di attacchi Apt (advanced persistent threat, minacce spesso tese al cyberspionaggio e al furto di dati) noto come Turla. Manco a dirlo, un gruppo di nazionalità russa.
Le sue attività sono documentate fin dal 2008, in relazione alla violazione informatica dei sistemi dello US Central Command. In seguito i membri di Turla hanno attaccato diverse ambasciate, ministeri, industrie nazionali, fornitori di servizi sanitari e altri obiettivi in giro per il mondo. Diverse società di cybersicurezza sono convinte della nazionalità russa dei membri di Turla, mentre nel 2018 l’agenzia di intelligence governativa dell’Estonia ha suggerito collegamenti con l’Fsb (il servizio federale per la sicurezza della Federazione russa).
“Le caratteristiche comuni tra Sunburst e Kazuar”, scrive Kasperksy, “comprendono l’algoritmo di generazione UID della vittima, l’algoritmo usato per calcolare i tempi di sleep e l’uso estensivo dell’algoritmo di “hashing” FNV-1a. Secondo quanto osservato dai ricercatori, i frammenti di codice non sarebbero del tutto identici, pertanto Kazuar e Sunburst potrebbero essere collegati ma resta ancora da chiarire la natura di questa relazione”.
Dunque non si può comunque affermare con certezza che gli autori di Sunburst e di Kazuar siano gli stessi, ma un legame esiste certamente. Gli hacker che hanno compromesso il software di SolarWinds potrebbero essersi ispirati all’attività di Turla oppure i due gruppi potrebbero aver ottenuto un malware dai medesimi “fornitori” o, ancora, un ex membro di Turla potrebbe aver formato un nuovo gruppo hacker e aver riutilizzato un vecchio codice. In ogni caso, sottolinea Kasperksy, le coincidenze non sono poche e resta difficile considerarle frutto del caso.
“Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull'origine di Sunburst, il malware utilizzato per la violazione di SolarWinds”, ha dichiarato Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky. “Guardando, ad esempio, all'attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti".