Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt

[English]Der Hackerangriff gegen US-Behörden und Firmen per SUNBURST-Backdoor zieht weitere Kreise. Auch das US-Außenministerium und weitere Behörden wurden wohl gehackt. Derweil haben Microsoft und weitere Industriepartner die Domain mit dem C&C-Server beschlagnahmt und hoffen so, die infizierten Systeme aufspüren zu können.


Anzeige

Der absolute GAU: Für SolarWinds und für die USA

So langsam wird die sichtbare Spitze des Eisbergs immer größer. Die Lawine wurde ausgelöst, nachdem der Hack beim Sicherheitsanbieter FireEye vor einigen Wochen bekannt wurde. Ich hatte im Blog-Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma plündern drüber berichtet, weil die Hacker die Red Team-Tools dieses Unternehmens geplündert haben. Sicherheitsanbieter FireEye konnte eine breit angelegte Hacker-Kampagne, als UNC2452 bezeichnet, aufdecken. Das Unternehmen hat dann bei den US-Sicherheitsbehörden und -Geheimdiensten Alarm geschlagen, worauf man genauer hingeschaut hat.

Denn den mutmaßlich staatlichen Hackern war ein Coup gelungen: Diese konnten in einem Lieferkettenangriff (Chain-Supply-Attack) den Update-Prozess des Software-Herstellers SolarWinds kompromittieren. So wurde eine mit einem Trojaner infizierte DLL-Datei durch SolarWinds mit Updates seiner Orion-Produktpalette an Kunden ausgeliefert. Es handelt sich dabei um eine Monitoring-Software für Windows, mit der sich eine IT-Infrastruktur (u.a. Datenbanken) und deren Netzwerke überwachen lässt. Einige Details hatte ich im Blog-Beitrag SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks aufgegriffen.

Und jetzt geht es Schlag auf Schlag. Vor wenigen Tagen wurde bekannt, dass das US-Finanzministerium (US Tresury) und die NTIA (National Telecommunications and Information Administration) gehackt worden waren. Die NTIA ist eine dem Handelsministerium angegliederte Abteilung, die auch für das Internet zuständig ist. Ich hatte im Blog-Beitrag US-Finanzministerium und weitere US-Behörde gehackt über diese beiden Fälle berichtet.

Zu diesem Zeitpunkt war mir schon klar, dass es nicht dabei bleiben wird. Denn SolarWinds beliefert neben US-Firmen aus den Fortune 500 auch die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs und andere prominente Regierungsorganisationen wie das Pentagon, das Außenministerium, die NASA, die Nationale Sicherheitsbehörde (NSA), die US-Post, die NOAA, das US-Justizministerium und das Büro des Präsidenten der Vereinigten Staaten. Auch NATO und Co. sind darunter.

Dann wurde bekannt, dass das US-Heimatschutzministerium (Department of Homeland Security, DoH) ebenfalls gehackt worden war. Die Angreifer konnten den E-Mail-Verkehr der Behörde über Monate unbemerkt verfolgen. Dem CNet-Beitrag hier entnehme ich, dass die Liste der gehackten US-Behörden immer länger wird. Auch das US-Außenministerium (State Department) und das US-Verteidigungsministerium (Pentagon) sind 'beglückt' worden. ZDnet listet neben FireEye folgende Stellen als gehackt auf:

  • The US Treasury Department
  • The US Department of Commerce's National Telecommunications and Information Administration (NTIA)
  • The Department of Health's National Institutes of Health (NIH)
  • The Cybersecurity and Infrastructure Agency (CISA)
  • The Department of Homeland Security (DHS)
  • The US Department of State

Unklar ist, wie viele Systeme noch mit welchen Produkten betroffen sind. Über Facebook ist mir folgende Stellungnahme von SolarWind an Kunden zugegangen.

Sehr geehrter Solarwindspartner

Unser Hersteller SolarWinds MSP hat uns darüber informiert, dass es einen Hacker-Angriff auf die SolarWinds Orion-Plattform gegeben hat. Wir verwenden dieses Produkt nicht in unserem Angebot.

Es gibt – Stand heute – keinerlei Anzeichen dafür, dass Ihre Solarwinds MSP Produkte

davon betroffen sind und Module von der Orion-Plattform nutzen.

Daher geht Solarwinds davon aus, dass Ihre und die Daten Ihrer Kunden nach wie vor sicher sind.

Nach bisherigem Wissen sind nur SolarWinds Orion-Produkte in den Versionen 2019.4 bis 2020.2.1 HF1 betroffen (siehe auch SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks). Das ist auch der Tenor des nachfolgenden Tweets.

Von SUNBURST betroffene SolarWinds-Produkte


Anzeige

Brian Krebs hat in diesem Artikel die Zahl von 18.000 potentiell betroffenen Kunden genannt (er bezieht sich auf eine SolarWinds-Meldung an US-Aufsichtsbehörden, wo diese Zahl genannt wurde). Symantec berichtet in diesem Blog-Beitrag, dass man auf über 100 Kundensystemen mehr als 2.000 Computer identifiziert habe, die die infizierten SolarWinds Orion-Updates erhalten haben. Die Symantec Sicherheitssoftware konnte bisher aber keine bösartigen Auswirkungen feststellen.

Desaster für SolarWinds, frühzeitige Anteilsverkäufe

In einem inzwischen gelöschten Beitrag (siehe auch) brüstete sich SolarWinds noch seiner Stärke, und dass kaum jemand an seinen Produkten vorbei komme. Im Beitrag  fanden sich folgende Angaben:

SolarWinds' comprehensive products and services are used by more than 300,000 customers worldwide, including military, Fortune 500 companies, government agencies, and education institutions. Our customer list includes:

  • More than 425 of the US Fortune 500
  • All ten of the top ten US telecommunications companies
  • All five branches of the US Military
  • The US Pentagon, State Department, NASA, NSA, Postal Service, NOAA, Department of Justice, and the Office of the President of the United States
  • All five of the top five US accounting firms
  • Hundreds of universities and colleges worldwide

Dann folgte eine Teilkundenliste, die das Who is Who der Institutionen und Wirtschaftswelt umfasst: Sparkasse Hagen, Gillette Deutschland GmbH, Swisscom AG, Credit Suisse, Booz Allen Hamilton, Boston Consulting, Ernst and Young, Gartner, Siemens, Volvo und so weiter. Ich habe mal die Liste als Screenshot herausgefischt.

SolarWinds Teilkundenliste
(SolarWinds Teilkundenliste, von der SolarWinds-Webseite gelöscht)

Die Liste besagt natürlich nicht, dass diese Kunden auch Orion-Produkte einsetzen und infiziert sind. Aber in diesen Unternehmen würde ich mir als IT-Verantwortlicher doch Sorgen machen.

Reuters berichtet hier von einer Telefonkonferenz am 27. Oktober 2020, die der in 2021 ausscheidende Vorstandsvorsitzende, Kevin Thompson, mit Analysten abhielt. Dort brüstete sich Thompson damit, dass es keine Datenbank und kein IT-Implementierungsmodell gebe, für das sein in Austin, Texas, ansässiges Unternehmen nicht ein gewisses Maß an Überwachung oder Management biete. "Wir glauben nicht, dass irgendjemand anderes auf dem Markt auch nur annähernd so breit aufgestellt ist, wie wir", sagte Thompson, "wir verwalten die Netzwerkausrüstung von jedem."

Jetzt ist diese Dominanz zu einer Belastung und SolarWinds-Software ist toxisch geworden. Denn der erfolgreiche Angriff auf die Lieferkette des Unternehmens hat die Kundschaft und damit die US-Behörden und -Firmen ins Mark getroffen. Inzwischen kommen auch die 'schmutzigen Seiten' der Geschichte ans Tageslicht.

SolarWinds Investor-Exit

Die beiden Top-Investoren, Silver Lake und Thoma Bravo haben Aktien im Wert von 286 Millionen US-Dollar abgestoßen. Aber bereits am 7. Dezember 2020, also sechs Tage, bevor der Hack öffentlich wurde. Das dürfte Untersuchungen in Richtung Insider-Handel auslösen. Weckt bei mir Erinnerungen an den Equifax-Hack, wo ein Vorstand in den Knast musste (siehe Haft nach Hack für Equifax IT-Vorstand Jun Ying).

Gegenmaßnahmen von Microsoft und SolarWinds

Inzwischen hat Microsoft den Defender um die entsprechenden Signaturen erweitert und wird kompromittierte SolarWinds Orion-Dateien in Quarantäne stellen (siehe auch folgender Tweet).

Defender erkennt Suburst-Malware

Die Original-Verlautbarung samt Hinweisen von Microsoft lässt sich hier nachlesen – Bleeping Computer hat es hier thematisiert. Und es gibt noch eine weitere Aktion gegen die SUNBURST-Malware: Microsoft hat zusammen mit Industriepartnern die Domäne des C&C-Servers beschlagnahmen lassen. Das berichtet ZDNet unter Berufung auf eigene Quellen in diesem Artikel. Bei der fraglichen Domain handelt es sich um avsvmcloud[.]com, die als Command-and-Control-Server (C&C) für die SUNBURST Malware diente und auf Go Daddy registriert war.

Durch die Beschlagnahmung der Domain hoffen Microsoft und seine Partner, alle Opfer zu identifizieren. Und es gibt die Hoffnung, durch diese Maßnahme die Angreifer daran zu hindern, die Backdoor zur Ausweitung ihrer Angriffe auf bereits infizierte Netzwerke zu verwenden. Wobei ich leise Zweifel habe, dass diese Maßnahme bei übernommenen Systemen von Erfolg gekrönt ist. Ich mag mich täuschen, aber ich hätte erwartet, dass die Angreifer längst zusätzliche Hintertüren in den betreffenden Active Directory-Strukturen eingerichtet haben.

Zudem hat SolarWinds Updates freigegeben, die die infizierten DLLs ersetzen sollen. Ob das aber reicht, daran habe ich meine Zweifel.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SolarWinds-Hack: Auch Microsoft & Co. betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Hack, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt

  1. A. No sagt:

    Es ist der Super-Gau! Die Frage ist und bleibt, ob anstelle von aggresiver Werbung für IT-Sicherheit endlich sicherere Grundstrukturen geschaffen werden.

    Z.B. werden heute von Cyber-Kriminellen ("Crooks") viele Angriffe mit MS-Word/Excel mittels Excel4Macros durchgeführt. Die sind zwar seit fast 30 Jahren "outdated", aber kein Grund für Microsoft einen leicht zu bedienenden Abschalter anzubieten.

    • Günter Born sagt:

      Ich bin das in Bezug auf 'sichere Grundstrukturen' im gegenwärtigen Kontext Berufspessimist. Weitgehend sicher sind die Systeme, wenn diese standalone ohne Internet laufen und von Dritten nicht zugänglich sind.

      Beim Rest sind Internetanschluss und 'sichere Grundstrukturen' schlicht ein Oxymoron – auch wenn die Mehrheit der Leute immer noch glaubt, das irgendwie gebacken zu kriegen.

    • 1ST1 sagt:

      Word/Excel-Macros sind im Grunde genommen gegen das hier kleine Fische, und wenn man sich mal mit den Gruppenrichtlinien befasst, schnell abgedreht. Beim BSI gibts eine PDF, wenn man die Punkt für Punkt durchgeht und die Gruppenrichtlinien anpasst, ist der Käse gegessen. Es ist nur die Frage, ob die User mit machen.

      Das hier ist wirklich der Supergau, das wird so manchen von uns Admins die Weihnachten versauen.

  2. Andreas sagt:

    Mal sehen wann Trump anfängt zu tönen, dieser Sicherheitsvorfall habe möglicherweise das Ergebnis der US-Wahl beeinflusst, weshalb das Ergebnis ungültig sei. ;-)

    • 1ST1 sagt:

      Das war vielleicht Ziel der Aktion. Wie man überall lesen kann, sollen ja russische Dienste hinter dem Ding stehen. Die haben ein großes Interesse daran, dass Stiefellecker Trump weiter im Amt bleibt.

      • Bernard sagt:

        Seid ihr dämlich. Geht mit diesem Politik-Scheiss zu Telepolis.

        • ibbsy sagt:

          @Bernard:
          1. Die Realität zeigt leider, dass @Andreas offenbar eine gute Vorahnung hatte..
          2. Überprüfe mal Deine Dialogfähigkeit.
          Vielleicht hilft Dir dabei auch Punkt fünf unter
          *ttps://www.borncity.com/blog/kommentieren-im-blog/
          (Das Sternchen durch "h" ersetzen!)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.