研究人员周一表示，用来攻击微软(Microsoft)、安全公司火眼(FireEye)以及至少六家联邦机构的恶意软件，与至少从2015年开始流传的恶意软件有“有趣的相似之处”。

Sunburst是安全研究人员为猎户座(Orion)安装恶意更新后感染了约1.8万个组织的恶意软件所取的名字。猎户座是总部位于德克萨斯州奥斯汀市的太阳风公司(SolarWinds)销售的一款网络管理工具。将Sunburst植入Orion的未知攻击者使用它安装了额外的恶意软件，进一步深入选定的感兴趣的网络。美国司法部、商务部、财政部、能源部和国土安全部都受到了黑客攻击，这是美国现代史上最严重的黑客攻击之一。

美国国家安全局(National Security Agency)、联邦调查局(FBI)和另外两家联邦机构上周表示，俄罗斯政府“很可能”是幕后黑手。此次袭击最迟始于2019年10月。尽管有几家新闻来源援引未具名官员的话报道称，黑客入侵是克里姆林宫的SVR(外国情报机构)所为，但研究人员仍在寻找确凿证据来证明这些言论的真伪。

可疑的

周一，总部位于莫斯科的安全公司卡巴斯基实验室(Kaspersky Lab)的研究人员报告称，Sunburst和恶意软件Kazuar的代码存在“奇怪的相似之处”。Kazuar是2017年首次曝光的一个恶意软件。安全公司帕洛阿尔托网络(Palo Alto Networks)的研究人员当时表示，Kazuar与Turla的已知工具一起被使用。Turla是世界上最先进的黑客组织之一，沐鸣开户测速其成员能说流利的俄语。

在周一发表的一份报告中，卡巴斯基实验室的研究人员称，他们发现Sunburst和Kazuar的代码和功能至少有三个相似之处。它们是:

用来生成唯一受害者标识符的算法

在感染了一个网络后，用来使恶意软件“休眠”或延迟采取行动的算法

大量使用FNV-1a散列算法来混淆代码。

卡巴斯基实验室的研究人员Gregory Kucherin、Igor Kuznetsov和Costin Raiu写道:“应该指出的是，这些代码片段都不是100%相同的。”“尽管如此，至少可以说，它们是奇怪的巧合。一次巧合没什么不寻常的，两次巧合绝对会让人侧目，而三次这样的巧合就有点可疑了。”

周一的文章警告说，不要从这些相似之处得出太多推论。它们可能意味着，Sunburst是由Kazuar背后的同一名开发人员编写的，沐鸣开户测速但它们也可能是试图在太阳风供应链攻击的真正源头上误导调查人员的结果，研究人员称之为“假旗操作”。

其他的可能性包括一个开发人员谁在Kazuar和后来去工作的团队创建Sunburst, Sunburst开发人员逆向工程Kazuar和使用它作为灵感，或者开发人员Kazuar和Sunburst获得他们的恶意软件从同一来源。

卡巴斯基实验室的研究人员写道:

目前，我们还不知道哪一个选项是正确的。虽然Kazuar和Sunburst可能有联系，但这种关系的性质仍然不清楚。通过进一步的分析，可能会出现证实其中一个或几个观点的证据。同时，也有可能Sunburst开发人员非常擅长他们的opsec，没有犯任何错误，这个链接是一个精心设计的假标志。在任何情况下，这种重叠对防守队员来说都不会有太大变化。供应链攻击是当今最复杂的攻击类型之一，过去曾被Winnti/钡/APT41等APT组织和各种网络犯罪集团成功利用。

联邦官员和研究人员表示，可能需要几个月的时间才能了解这场持续数月的黑客行动的全面影响。周一的帖子呼吁其他研究人员进一步分析这些相似之处，以获得更多关于谁是幕后主使的线索。