SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks

Publiziert am 14. Dezember 2020 von Günter Born

[English]Mutmaßlich staatlichen Hackern ist es gelungen, die weltweit breit eingesetzten Netzwerk- und Sicherheitsprodukte von SolarWinds zu manipulieren. Durch eine Supply-Chain-Attacke wurde ein Trojaner bzw. die SunBurst-Backdoor mit einem Software-Update ausgerollt.

Anzeige

Aktuell kann man es mit einem Satz zusammen fassen: Die Hütte ist am Brennen. Die SunBurst-Backdoor ermöglichte den Hack bei FireEye, bei dem deren Red Team-Tools erbeutet wurden. Ich hatte im Blog-Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma plündern über den Angriff berichtet. Die Nacht habe ich vom Hack des US-Finanzministeriums und einer weiteren Behörde des US-Handelsministeriums berichtet (siehe US-Finanzministerium und weitere US-Behörde gehackt). Jetzt kristallisiert sich heraus, dass die Angriffe vermutlich ebenfalls über eine Backdoor in SolarWinds-Produkten erfolgen.

SolarWinds-Produkte mit SunBurst-Backdoor

Es gibt Hinweise dafür, dass Angreifer ein Software-Update des texanischen IT-Infrastrukturanbieters SolarWinds Anfang 2020 durch einen Supply-Chain-Angriff (Angriff auf die Lieferkette) manipuliert haben, um in die Systeme von Regierungsbehörden sowie von FireEye einzudringen.

Die Netzwerk- und Sicherheitsprodukte von SolarWinds werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbehörden und Bildungseinrichtungen.

SolarWinds beliefert außerdem die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs und andere prominente Regierungsorganisationen wie das Pentagon, das Außenministerium, die NASA, die Nationale Sicherheitsbehörde (NSA), die Post, die NOAA, das Justizministerium und das Büro des Präsidenten der Vereinigten Staaten.

Nur mal angemerkt: Ist jetzt sehr spannend, die Diskussion um Huawei zu verfolgen.

CISA-Warnung vor SolarWinds-Produkten

Die Cybersecurity and Infrastructure Security Agency (CISA) hat Sonntag-Abend (13.12.2020) die Notfallrichtlinie 21-01 herausgegeben. Dies erfolgte als Reaktion auf eine bekannte Kompromittierung von SolarWinds Orion-Produkten (betroffen sind die Versionen 2019.4 bis 2020.2.1 HF1), die derzeit von staatlichen Hackern ausgenutzt wird. Die Existenz folgender Dateien (unter Windows) deutet auf einen Kompromittierung hin:

a. [SolarWinds.Orion.Core.BusinessLayer.dll] mit einem Datei-Hash von [b91ce2fa41029f6955bff20079468448].

b. [C:\WINDOWS\SysWOW64\netsetupsvc.dll]

Die Kompromittierung ermöglicht es einem Angreifer, Zugriff auf Netzwerkverkehrsmanagementsysteme zu erhalten. Die CISA-Notfalldirektive fordert alle zivilen Bundesbehörden in den USA auf, ihre Netzwerke auf Anzeichen einer Kompromittierung zu überprüfen und die SolarWinds Orion-Produkte sofort vom Netz zu trennen oder abzuschalten.

Anzeige

FireEye und die UNC2452-Kampagne

Der gehackte Sicherheitsanbieter FireEye berichtet in diesem Artikel von einer weit verbreiteten, UNC2452 genannten, Kampagne, die von staatlichen Hackern geführt wird. In diesem Rahmen wurde von FireEye ein Supply-Chain-Angriff auf die SolarWinds Orion Business Software entdeckt. Anfang des Jahres wurden wohl trojanisierte Updates auf die Systeme mit dieser Software ausgeliefert. Über diese Updates ist es Hackern möglich, Malware, die FireEye SUNBURST nennt, zu verteilen. Die Angreifer verwenden nach einer Kompromittierung der Geräte mehrere Techniken, um sich der Erkennung zu entziehen und ihre Aktivitäten zu verschleiern. Die Kampagne ist weit verbreitet und betrifft öffentliche und private Organisationen auf der ganzen Welt.

Die SUNBURST Backdoor

In der CISA-Warnung vor SolarWinds-Produkten ist bereits die Datei SolarWinds.Orion.Core.BusinessLayer.dll erwähnt. SolarWinds.Orion.Core.BusinessLayer.dll ist eine von SolarWinds digital signierte Komponente des Orion Software Framework. Kompromittierte Versionen enthalten eine Hintertür, die über HTTP mit Servern von Drittanbietern kommuniziert.


SolarWinds digital signature on software with backdoor, Quelle: FireEye

Nach einer anfänglichen Ruhephase von bis zu zwei Wochen ruft sie Befehle, sogenannte "Jobs", ab und führt sie aus, die unter anderem die Möglichkeit bieten, Dateien zu übertragen, Dateien auszuführen, Profile des System zu erstellen, den Rechner neu zu starten und Systemdienste zu deaktivieren. Die Malware tarnt ihren Netzwerkverkehr als das Orion Improvement Program (OIP)-Protokoll und speichert Aufklärungsergebnisse innerhalb legitimer Plugin-Konfigurationsdateien. Dadurch kann sie sich unter die legitimen SolarWinds-Aktivitäten mischen, um einer Entdeckung zu entgehen.

Die Backdoor verwendet mehrere verschleierte Blocklisten, um forensische und Antiviren-Tools zu identifizieren, die als Prozesse, Dienste und Treiber laufen. Details zum Aufspüren der Malware sowie eine tiefergehende Analyse sind dem FireEye-Artikel zu entnehmen.

Ergänzung: Von Microsoft gibt es das Dokument Customer Guidance on Recent Nation-State Cyber Attacks mit weiteren Details.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SolarWinds-Hack: Auch Microsoft & Co. betroffen?

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.