關(guān)于SolarWinds供應(yīng)鏈攻擊的歸因工作牽動著全球安全界的注意力。此前，美國政府多位官員聲稱攻擊者很可能是俄羅斯，一些未經(jīng)證實的報道稱該威脅組織為APT29和Cozy Bear。但是都沒有公布確鑿的或者詳細的證據(jù)。

[[375331]]

周一，卡巴斯基報道(https://securelist.com/sunburst-backdoor-kazuar/99981/)稱，在SolarWinds攻擊者投放的Sunburst惡意軟件與Kazuar之間發(fā)現(xiàn)了“有趣”的關(guān)聯(lián)。“Sunburst和Kazuar的各代人的幾個代碼片段非常相似。我們應(yīng)該指出，盡管類似，但這些代碼塊(例如UID計算子例程和FNV-1a哈希算法的用法以及睡眠循環(huán))仍然不是100%相同。”

Kazuar是自2015年以來始終活躍的.NET后門程序，2017年由Palo Alto Networks首次詳細介紹。

雖然還沒有人明確地將Kazuar與已知的威脅行為者聯(lián)系起來，但是Palo Alto Networks在有關(guān)Kazuar的初次報告時發(fā)現(xiàn)的一些證據(jù)表明，Turla可能已經(jīng)使用了它，后者是與俄羅斯有關(guān)聯(lián)的一個臭名昭著的網(wǎng)絡(luò)間諜組織，在過去的14年中攻擊了許多政府組織。

根據(jù)卡巴斯基的說法，過去幾年中，Kazuar與其他Turla工具多次被發(fā)現(xiàn)相同漏洞。Turla黑客可能已經(jīng)將Kazuar用作第二階段的后門程序。

卡巴斯基指出，目前發(fā)現(xiàn)的關(guān)聯(lián)信息尚不足以確認攻擊者，大致存在幾種可能：

• Sunburst和Kazuar可能是同一個小組開發(fā)的，但是Sunburst的開發(fā)人員也可能只使用了Kazuar的一些代碼或構(gòu)想，未必存在直接關(guān)聯(lián)。
• SolarWinds攻擊者和使用Kazuar的小組都可能從相同的來源獲取了代碼。
• Kazuar的開發(fā)人員也可能出于某種原因轉(zhuǎn)移到Sunburst團隊。
• Sunburst和Kazuar之間的相似之處只是一個偽裝信號，用來誤導調(diào)查人員。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文