Alors que les États-Unis ont d’ores et déjà accusé la Russie d’être à l’origine de l’attaque SolarWinds, également appelée « Sunburst », il n’y avait pour l’instant pas vraiment de preuves tangibles. Les chercheurs (russes!) de Kaspersky viennent maintenant de révéler une série d’indices techniques qui pointent bel et bien vers le Kremlin.
Ainsi, il existe des similarités entre le code des portes dérobées de Sunburst et Kazuar, une backdoor découverte par les experts de Palo Alto en 2017 et qui ferait partie de l’arsenal du groupe de hackers russes Turla, alias Snake ou Uroburos.
En effet, les deux malwares utilisent les mêmes algorithmes pour générer un identifiant de victime et calculer le temps entre deux connexions avec les serveurs C&C. Tous les deux font également usage d’une version modifiée de l’algorithme de hachage FNV-1a.
D’autres recherches sont nécessaires
Ce n’est pas suffisant pour dire que le groupe Turla est derrière l’attaque SolarWinds et d’autres recherches sont nécessaires pour établir une attribution. Mais à moins qu’il s’agisse d’un leurre subtil, on peut supposer qu’il existe au moins un lien de coopération entre les deux.
Turla est considéré par les experts comme une émanation du service de renseignement intérieur FSB. Or, selon plusieurs sources anonymes de la presse américaine, Sunburst serait plutôt l’œuvre d’APT 29, un autre groupe de hackers russes.
Les deux affirmations ne sont pas forcément contradictoires. D’après les services de renseignement estoniens, APT 29 serait une « joint-venture » entre le FSB et le SVR, le service de renseignement extérieur. Et entre bons amis, on peut bien partager quelques outils.
Source : Kaspersky
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
