Kaspersky uzmanları; 2017 yılında Palo Alto aracılığı ile duyurulan, aynı zamanda evrensel siber casusluk için ihtiyaç duyulan ‘’.NET çerçevesi’’ ile yazılmış arka kapı niteliğindeki Kazuar’la neredeyse aynı olan bir sürü özellik ortaya koydu.

Kaspersky yaptığı araştırmalarına göre, 13 Aralık 2020 tarihinde FireEye, Microsoft ve SolarWinds; SolarWinds’in Orion BT kullanıcılarına yapılmış olan kötü bir yazılımı duyurdu. Bu yazılımın ismi ‘’Sunburst’’ olarak duyuruldu ve oldukça büyük ve karışık bir tedarik zincirine ait bir saldırı olduğu açıklandı. Kaspersky uzmanları ise bu kötü amaçlı yazılım ile kurban kişinin makinesine iletişimin sağlanmasına sebep olan yine kötü amaçlı bir yazılım türü olan Kazuar arka kapıları ile özel kod örtüşmelerine rastladı. Yeni bilgiler; araştırmacılar saldırının sebebini ve nereye dayandığını ortaya koyulması için yardım sağlayacak yeni bilgiler duyuruyor. Özel kod örtüşmeleri ise Kazuar ve Sunburst ikilisinin birlikte çalıştığı fikrini aklımıza getiriyor.

%100 Benzerlik Yok!

Sunburst ve Kazuar arasında benzeyen özelliklerden bahsetmek gerekirse;

  • Kurban için UID oluşturma algoritması
  • Uyku algoritması
  • FNV-1a hash değerinin geniş kullanımı olarak belirlendi.

Uzmanlar ise örtüşen bu özelliklerde bulunan kod parçalarının aslında %100 benzer olmadığını düşünüyor. Bu durum da aklımıza gelen fikrin yarı yarıya doğru olabileceğini gösteriyor.

Farklı bir açıdan bakmak gerekirse, Sunburst ve Kazuar aynı gruplar aracılığı ile ilerletildi. Yani birbirilerinden esinlenmeleri, hatta Kazuar geliştiricilerinin bazılarının Sunburst ekibine geçmeleri bizlere Sunburst ve Kazuar’ın farklı olmayan kötü amaçlı kaynaklardan beslendiklerini gösteriyor olabilir.