Experten von Kaspersky haben Parallelen zwischen Sunburst, dem Schadprogramm, das beim Solarwinds-Hack genutzt wurde, und einer anderen Backdoor namens Kazuar gefunden. Kazuar wurde 2017 entdeckt und mit der russichen Hackergruppe Turla in Verbindung gebracht.
Das legt nahe, dass die gleiche Gruppe auch hinter dem Solarwinds-Hack steckt. Turla arbeitet mutmaßlich für den russischen Sicherheitsdienst FSB.
3 auffällige Ähnlichkeiten
Beide Programme nutzen die gleiche Methode, um zufällige zeitliche Abstände zwischen einzelnen Verbindungen mit dem Command-and-Control-Server zu berechnen. Das macht die Aktivität der Schadsoftware unauffälliger.
Sie generieren außerdem über ähnliche Algorithmen eindeutige Identifikatoren für die Opfer. Sowohl Kazuar als auch Sunburst nutzen darüber hinaus den FNV-1a-Hashing-Algorithmus, was allerdings kein Alleinstellungsmerkmal dieser beiden Programme ist.
Hinweise geben noch keine Sicherheit
Die Forscher schreiben aber, dass andere Experten diesen Hinweisen nachgehen und die Ergebnisse überprüfen sollten, um sicherzugehen. Zum jetzigen Zeitpunkt könne man nicht sagen, dass hinter Sunburst und Kazuar genau dieselbe Gruppe steckt.
Eine andere Möglichkeit sei, dass eine einzelne Person an der Entwicklung beider Programme beteiligt war oder beide Hackergruppen dieselben Quellen nutzen. Die Ähnlichkeiten könnten auch bewusst erzeugt werden, um eine falsche Fährte zu legen.
Russische Spionage-Aktion vermutet
Es war bereits vermutet worden, dass es sich bei dem Hack um eine Spionage-Aktion handelt, weil es offenbar weniger um die Zerstörung von Infrastruktur und mehr um das Abgreifen von Kommunikation ging. Das legt eine politische Motivation nahe.
Die US-Amerikanische Polizeibehörde FBI und der Abhördienst NSA hatten in einem gemeinsamen Statement konkret russische Hacker beschuldigt. Die Analyse von Kaspersky liefert aber zum ersten Mal handfeste Argumente für diese Theorie.
