เมื่อวันที่ 13 ธันวาคมที่ผ่านมา ทาง FireEye, Microsoft และ SolarWinds แจ้งข่าวการค้นพบการโจมตีซัพพลายเชนด้วยมัลแวร์ที่ไม่เคยพบมาก่อนชื่อว่า “Sunburst” เป็นปฏิบัติการขนาดใหญ่และมีความซับซ้อนที่เข้าโจมตีลูกค้าของ SolarWinds’ Orion IT โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ตรวจพบความคล้ายคลึงหลายจุดในโค้ดของ Sunburst กับแบ็คดอร์ที่รู้จักอยู่แล้วของ Kazuar ซึ่งเป็นมัลแวร์ที่ยึดเครื่องและใช้งานจากระยะไกล การคันพบในจุดนี้ให้ข้อมูลเชิงลึกหลายประการที่เป็นประโยชน์แก่นักวิจัยในการสืบสวนเกี่ยวกับการโจมตีครั้งนี้ให้กระจ่างแจ้งต่อไป

ทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบสิ่งหนึ่งขณะศึกษาแบ็คดอร์ Sunburst นั่นคือ ฟีเจอร์จำนวนหนึ่งที่ทับซ้อนคาบเกี่ยว (overlap) กับฟีเจอร์ในแบ็คดอร์ที่ถูกพบมาแล้วที่ชื่อ Kazuar ซึ่งใช้ .NET framework เขียนขึ้นมาก่อน ตามที่ Palo Alto ได้รายงานไว้เมื่อปี 2560 และใช้ในการก่อจารกรรมทั่วโลก ความคล้ายคลึงที่พบในโค้ดหลายจุดบ่งชี้ความเชื่อมโยงระหว่าง Kazuar และ Sunburst แม้ว่าจะยังไม่ชัดเจนในเรื่องการทำงานก็ตาม

ฟีเจอร์ที่มีความเหมือนกันระหว่าง Sunburst และ Kazuar นี้รวมเหยื่อ UID generation algorithm ด้วย ซึ่งเป็นอัลกอริธึ่ม ที่ไม่เคลื่อนไหว และการใช้ต่อยอดของ FNV-1a hash ตามที่ผู้เชี่ยวชาญพบ ชิ้นส่วนของโค้ดเหล่านี้ไม่เหมือนกันทั้งหมด 100% บ่งชี้ว่ามีความเป็นไปได้ที่ Kazuar และ Sunburst มีความเกี่ยวข้องกัน แม้รายละเอียดจะยังไม่ชัดเจน

หลังจากที่มัลแวร์ Sunburst ถูกนำออกมาใช้งานครั้งแรกเมื่อเดือนกุมภาพันธ์ ปี 2563 นั้น Kazuar ก็วิวัฒนาการเปลี่ยนแปลงมาอย่างต่อเนื่องและต่อมาในปีเดียวกันก็พบ variants หลายตัวที่มีความคล้ายคลึงกับหลายส่วนของ Sunburst มากยิ่งขึ้น

โดยรวม ระหว่างช่วงที่ Kazuar ดำเนินการแปลงกายอยู่นั้น ผู้เชี่ยวชาญก็ได้สังเกตุวิวัฒนาการหลายจุดในฟีเจอร์ และพบความคล้ายคลึงกับ Sunburst ในฟีเจอร์สำคัญ อาจเป็นเพราะ Sunburst ถูกพัฒนาขึ้นโดยกลุ่มเดียวกับกลุ่มที่พัฒนา Kazuar ผู้พัฒนา Sunburst ใช้ Kazuar เป็นแรงส่งไปจุดต่อไป การที่ผู้พัฒนาย้ายทีม หรือทั้งสองกลุ่มอาจใช้มัลแวร์จากแหล่งเดียวกันก็เป็นได้

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า “ความเกี่ยวข้องเชื่อมโยงที่ระบุพบมิได้ชี้ว่าใครเป็นผู้อยู่เบื้องหลังการโจมตี SolarWinds อย่างไรก็ตาม ก็ได้รับรู้ข้อมูลเชิงลึกเพิ่มมากขึ้นที่เป็นตัวสนับสนุนการทำงานสืบสวนของทีมนักวิจัย เราเชื่อว่าเป็นเรื่องสำคัญที่นักวิจัยทั่วโลกร่วมกันสืบสวนความคล้ายคลึงเหล่านี้ และมุ่งมั่นที่จะสืบค้นเบื้องหลังเกี่ยวกับ Kazuar และที่มาของ Sunburst มัลแวร์ที่ใช้ในการละเมิดกรณี SolarWinds เมื่อพิจารณาจากประสบการณ์ในอดีต เช่น กรณี WannaCry ในช่วงแรกจะมีข้อมูลน้อยมากที่เชื่อมโยงไปยังกลุ่มลาซารัส ต่อมา จึงปรากฎหลักฐานเพิ่มขึ้นจนทำให้ทีมงานของเราและของอีกหลายหน่วยงานสามารถเชื่อมโยงทั้งสองส่วน เข้าด้วยกันได้ความมั่นใจ และการทำวิจัยเจาะลึกในเรื่องนี้ถือว่ามีความสำคัญอย่างยิ่งต่อการจับต้นชนปลายเรื่องราวทั้งหมดเข้าด้วยกัน”

ข้อมูลเพิ่มเติม

• รายละเอียดทางเทคนิคของความคล้ายคลึงระหว่าง Sunburst และ Kazuar

https://securelist.com/sunburst-backdoor-kazuar/99981/

• งานค้นคว้าวิจัยของแคสเปอร์สกี้เกี่ยวกับ Sunburst

https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/

• วิธีการที่แคสเปอร์สกี้ป้องกันลูกค้าให้พ้นจาก Sunburst

https://securelist.com/how-we-protect-against-sunburst-backdoor/99959/

คำแนะนำจากแคสเปอร์สกี้เพื่อเลี่ยงความเสี่ยงจากการติดเชื้อมัลแวร์ เช่น Sunburst

• สนับสนุนทีม SOC ของคุณด้วยข้อมูลวิเคราะห์ล่าสุดเกี่ยวกับภัยไซเบอร์ พอร์ทัลของแคสเปอร์สกี้ Kaspersky Threat Intelligence Portal เปิดโอกาสให้บริษัทหน่วยงานองค์กรเข้ามาเรียกดูข้อมูล TI ได้ โดยจะมีข้อมูลการโจมตีไซเบอร์และข้อมูลวิเคราะห์ที่แคสเปอร์สกี้ได้รวบรวมไว้มากกว่า 20 ปี โดยไม่มีค่าใช้จ่าย และสามารถที่ตรวจสอบไฟล์, URLs และ IP addresses https://opentip.kaspersky.com/

• หน่วยงานที่ต้องการดำเนินการสืบสวนกรณีต่างๆ ของตนเอง จะได้รับประโยชน์จาก Kaspersky Threat Attribution Engine เอ็นจินนี้จะทำการจับคู่เทียบโค้ดไม่พึงประสงค์ที่พบกับฐานข้อมูลมัลแวร์ เทียบหาความเหมือนในโค้ด ว่าเคยพบหรือโยงไปยังเคสเปญ APT ที่เคยพบมาก่อน