Dünyanın en çok tanınan siber güvenlik firmalarından Kaspersky’ın araştırmacıları, pazartesi günü yapılan açıklamada, Microsoft ve FireEye başta olmak üzere bir dizi önemli kuruluşun etkilendiği SolarWinds saldırısı ile ilgili yeni bir gelişme olduğunu söyledi. Araştırmacılar, saldırıda kullanılan yöntemlerin en az 2015 yılından beri siber ortamda dolaşan kötü amaçlı yazılımlarda kullanılan yöntemlerle ilginç bir benzerliğe sahip olduğunu belirtti. Bu benzerlikler ise hack girişiminin arkasında Rusya’nın olup olmadığı sorusunu tekrardan gündeme getirdi.
SolarWinds Saldırısı Kim Tarafından Düzenlendi?
Geçen hafta Ulusal Güvenlik Ajansı, Federal Soruşturma Bürosu ve diğer iki federal kurum, Ekim 2019’dan itibaren düzenlenmeye başlanan saldırının arkasında Rus hükümetinin olabileceğini söylemişti. İsimsiz yetkililere atıfta bulunan birkaç haber kaynağı ise hack girişiminin Dış İstihbarat Servisi ile bir bağlantısını olduğunu bildirmişti. Konunun ayrıntılarını ele almaya devam eden araştırmacılar, saldırının arkasındaki isimleri kesin olarak ortaya çıkaracak kanıtları aramaya devam ediyor.
Pazartesi günü Moskova merkezli siber güvenlik şirketi Kaspersky Lab’de çalışan araştırmacılar, söz konusu saldırıda kullanılan yöntem ile ilk kez 2017 yılında ortaya çıkan bir kötü amaçlı yazılımın parçası olan Sunburst ve Kazuar’da kullanılan yöntemin ilginç bir şekilde benzerlik gösterdiğini bildirdi. Kazuar, dünyanın en büyük hacker gruplarından biri olan Turla’nın bilinen araçları ile kullanılmıştı ve incelemeler sonrasında hackerların Rusça konuştuğu öğrenilmişti.
Kaspersky Labs araştırmacıları, pazartesi günü yayımlanan bir raporda Sunburst ve Kazuar’ın kod ve işlevsellik bakımından en az üç benzerliğe sahip olduğunun tespit edildiğine yer verdi. Bu benzerliklerin en başında kurbanları tanımlamak için kullanılan benzersiz algoritma bulunuyor. O saldırılarda kullanılan FNV-1a algoritmasının da bu saldırıda kullanıldığı öğrenildi. Ayrıca kötü amaçlı yazılımı gizlemek veya kurbanların sistemlerine sızıldıktan sonra işlem başlatmak için kullanılan algoritmanın da aynı olduğu ortaya çıktı.
Kaspersky araştırmacıları Gregory Kucherin, Igor Kuznetsov ve Costin Raiu, bu algoritmalarda kullanılan kodların geçmişteki kötü amaçlı yazılımlarda kullanılan kodlarla tamamen aynı olmadığını söyledi ancak bu benzerliklerin ilginç bir tesadüf olduğunu vurguladı. Kısacası, kötü amaçlı yazılımlar arasında bağlantı olduğuna dair küçük ipuçları bulunuyor ancak gerçekçi olmak gerekirse bu kötü amaçlı yazılımların kesin olarak birbiri ile bağlantılı olduğunu söylemek doğru olmayacaktır.