SUNBURST-Hack: Microsofts Analysen und Neues

[English]Der Hack vieler US-Behörden und Firmen über die SUNBURST-Backdoor, ausgeführt von mutmaßlich staatsnahen Hackern, zieht weitere Kreise. Aufgedeckt wurde es wohl eher durch Zufall, US-Präsident Trump zeigt auf die Chinesen und Microsoft legt ausführlichere Analysen vor. Hier ein kleiner Überblick.


Anzeige

Zum Sachverhalt

Seit Monaten sind zahlreiche US-Behörden und Ministerien sowie Firmen weltweit durch eine Hintertür gehackt und Angreifern ist es gelungen, zahlreiche Dokumente abzuziehen. In den Beiträgen US-Finanzministerium und weitere US-Behörde gehackt und FireEye: Wenn Hacker eine Sicherheitsfirma plündern hatte ich erstmals über diese Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Behörden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen.

Es ist eine riesige Spionage-Aktion, die, wegen der Raffinesse und des Aufwands staatsnahen Hackern zugeschrieben wird. Denn den Angreifern ist es gelungen, Updates für eine breit im Einsatz befindliche Netzwerk-Überwachungssoftware (SolarWinds Orion) durch einen SUNBURST genannten Trojaner zu verseuchen. Ich hatte in den am Artikelende verlinkten Beiträgen ausführlich berichtet.

Der Fall hat nach meiner Wahrnehmung eine neue Dimension angenommen und dürfte die US-IT-Landschaft im Markt erschüttern. Gewissheiten der Art 'wir sind die besten, wir sind sicher, uns kann niemand was' sind da gerade über den Jordan gegangen. Wired schreibt hier, dass Experten die USA schlecht bei der Abwehr von Supply-Chain-Angriffen, wie es hier der Fall war, aufgestellt sehen.

Trump spielt den Fall herunter

In den Medien und in Behörden wird seit dem Bekanntwerden auf Russland als Nutznießer der Spionage-Aktion gezeigt. In diesem Artikel heißt es, man habe bereits ein offizielles Statement für letzten Freitag erstellt gehabt, welches Russland als Urheber bezeichnet. Aber es gab einen Veröffentlichungsstopp.

Trump-Tweets zum Super-Hack

Nur 'Noch US-Präsident' Donald Trump hat seine eigene Sicht der Dinge (siehe auch hier). In obigen Tweets spielt er den Hack herunter und schreibt, dass es ja auch  China gewesen sein könne (wäre nicht ausgeschlossen). Aber das witzige ist, dass er es gleich mit Minipulation der Wahlmaschinen in Verbindung bringt und behauptet, dass die Wahl gestohlen sei. Twitter hat diesen Tweet mit einer Warnung versehen, dass Joe Biden der Gewinner der US-Wahl sei. Schätze, es wird Zeit, dass das 'größte Genie der USA' langsam aus dem weißen Haus verschwindet.

Hack wurde durch Zufall bekannt

Ich hatte es in meinen Beiträgen schon mal angedeutet: Der Fehler der Staatshacker war es wohl, dass man nicht wiederstehen konnte, den Sicherheitsanbieter FireEye zu infiltrieren und deren Red Team-Tools zu entwenden. Denn das Milliarden schwere EINSTEIN-Programm, welches die IT von US-Behörden vor solchen Angriffen schützen soll, hat versagt und nichts gemerkt. Die Washington Post schreibt hier, dass die ganze Operation durch einen Zufall aufgeflogen ist.

Der Angriff von SolarWinds entging den US-Sicherheitsmaßnahmen so sehr, dass er nicht von Geheimdienstmitarbeitern entdeckt wurde, sondern fast zufällig dank einer automatischen Sicherheitswarnung, die in den letzten Wochen an einen Mitarbeiter von FireEye gesendet wurde, der selbst in aller Stille kompromittiert worden war.

Die Warnung, die auch an das Sicherheitsteam des Unternehmens geschickt wurde, teilte dem Mitarbeiter von FireEye mit, dass jemand die Anmeldedaten des Mitarbeiters verwendet hatte, um sich von einem nicht erkannten Gerät aus in das virtuelle private Netzwerk des Unternehmens einzuloggen – die Art von Sicherheitsnachricht, die Unternehmensmitarbeiter routinemäßig löschen.

Hätte dies nicht die Aufmerksamkeit der FireEye-Führungskräfte erregt, wäre der Angriff wahrscheinlich immer noch nicht entdeckt worden. Der Teufel ist ein Eichhörnchen, und ab diesem Moment kam die Sache ans Rollen.


Anzeige

Microsoft legt zwei Analysen vor

Für Leute, die in der Administration von Unternehmensnetzwerken unterwegs sind, möchte ich noch auf zwei Analysen von Microsoft verweisen, die etwas tiefer auf die Geschichte eingehen. Es gibt eine schöne Analyse des Microsoft 365 Defender Research Teams: Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. Der Defender von Microsoft erkennt den Trojaner (siehe auch hier).

Und es gibt ein weiteres Dokument des Microsoft 365 Defender Threat Intelligence Team Ensuring customers are protected from Solorigate welches sich mit Abwehrmaßnahmen befasst. Von Microsoft gibt es zudem das Dokument Customer Guidance on Recent Nation-State Cyber Attacks mit weiteren Details.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu SUNBURST-Hack: Microsofts Analysen und Neues

  1. Herr IngoW sagt:

    Gibt es in den USA im Moment einen der, für die Cybersicherheit zuständig ist, oder bestimmt der große oberschlaue Wichtigtuer, im Weißen Haus, was gemacht wird.
    Von nix Ahnung, aber nur was er macht ist natürlich "great".

    • woodpeaker sagt:

      Reg dich nicht auf. Ich verrate dir mein Geheimrezept um solche Leute zu ertragen.

      Stell dir diese Nullnummer mal nur in Unterhose vor, bevorzugt Doppelripp mit beidseitigen Eingriff, in den Fall noch als Steigerung mit nassen Haaren, und du hast Probleme Luft zu bekommen wegen dem aufziehenden Lachflash. :-)
      Das kannst du übrigens auf alle dir missfallenden Personen ausweiten.
      Beispiel gefällig: Die Weigel von der AFD im Stringtanga und sie stampft borstig auf den Boden.

      In dem Augenblick ist dein Tag gerettet und kannst die "Wichtigkeit" der Person richtig einschätzen.

      Hoffe dir hilft das. :-)

  2. Andreas sagt:

    Zitat: Aber das witzige ist, dass er es gleich mit Minipulation der Wahlmaschinen in Verbindung bringt und behauptet, dass die Wahl gestohlen sei.

    Hat also nur 3 Tage gedauert, bis meine Vorahnung eingetroffen ist, siehe

    https://www.borncity.com/blog/2020/12/16/neues-im-kampf-gegen-die-sunburst-infektion-domain-beschlagnahmt/#comment-98584

  3. Stephan sagt:

    Habe die Analyse von Microsoft gestern gelesen und bin einfach nur entsetzt.

    1. Die leben in einer totalen Parallelwelt. Die tun so, als wäre Supply-Chain-Attack etwas völlig neuartiges. Supply-Chain-Attack ist seit Jahrzehnten das offensichtliche Standardszenario, gegen das man sich schützen muß. Linux-Distributionen sind zum Beispiel genau so aufgebaut, daß man eben nicht Software als Binaries von Third-Party-Servern mit Adminrechten ausführen muß. Auch der ganze Sinn hinter dem Appstore im iPhone ist derselbe.
    Genau genommen gibt es ein Grundprinzip, das Apple und Debian vereint: Der Entwickler ist der Feind des Nutzers. Auch wenn die meisten Entwickler nichts böses im Schilde führen, ist die Gefahr von Nachlässigkeit und Inkompetenz auch nicht zu verachten.
    Früher war das gang und gebe, daß Entwickler nicht an Produktivsysteme durften und Admins keinen Code schreiben durften. Eine Art Gewaltenteilung in der EDV. Heute mit DevOps weiß keiner mehr, welcher Code woher kommt. Ein «Recipe for Disaster», wie der Amerikaner sagt.
    Microsoft nimmt einfach an, daß das völlig normal wäre, daß man Programme (egal ob manuell oder durch automatische Updates) von SolarWinds-Servern herunterlädt und dann Installer ausführt usw. usf. Das war schon zu Floppy-Zeiten völlig unakzeptabel, von Unternehmens-IT im Jahre 2020 ganz zu schweigen.

    2. Im zweiten Teil nehmen sie das auch noch als Gelegenheit wahr, ihre «Security-Software» (bewußt in Anführungszeichen, da es sich um Schlangenöl handelt) zu bewerben. Die Security-Software, die monatelang nichts gemerkt hat.
    Nach aktuellen Informationen ist SolarWinds mindestens seit 2017 kompromittiert durch fxmsp (FBI-gesuchter Kasache) und seit mindestens sechs Monaten werden verseuchte Updates an Kunden verteilt. Mindestens 18000 Kunden, davon 425 der Fortune Top 500, sind infiziert. Darunter IT-Firmen wie Microsoft und Cisco, und auch Finanzfirmen mit hohen Sicherheitsanforderungen. Alle von denen betreiben «Sicherheitslösungen» diverser Hersteller. Von McAfee bis Sophos wird bestimmt jeder von mindestens einer der 18000 Firmen eingesetzt.

    KEINER VON DENEN HAT ETWAS GEMERKT!

    Warum wurde es dann bemerkt? Die Angreifer waren fertig und hatten keine Lust mehr, also haben sie die Tools von FireEye ins Internet gestellt. Es wurde buchstäblich nur bemerkt, weil die Angreifer sich freiwillig gezeigt haben. Das ist auch nichts neues, seit Jahren hört man auf jeder Sicherheitskonferenz von Experten, daß ein Angriff im Durchschnitt (!) erst nach 400 Tagen bemerkt wird.

    Sorry, Microsoft. Der Angriff ist längst gelaufen. Niemand interessiert es, daß der Defender jetzt die infizierten SolarWinds-Binaries entdecken kann. Das wäre euer Job vor sechs Monaten gelaufen. Mal abgesehen davon, daß es überhaupt keinen Grund gibt, davon auszugehen, daß die SolarWinds-Malware nicht noch weitere Malware installiert hat, die der Defender bis heute nicht findet. Es muß ja auch nicht bei 18000 Kunden dieselbe Malware sein.

    PS: Übrigens, nach dem Bekanntwerden der Infektion bei SolarWinds hat ein Sicherheitsforscher ein paar Tage später die Software heruntergeladen und es war immer noch die infizierte Version auf dem FTP-Server.

  4. JohnRipper sagt:

    Also wenn Donald Trump es herunterspielt, dann muss es eine ungeahnte Dimension haben..

  5. Markus sagt:

    Sunburst hängt mit dem Dominion Wahlsystem zusammen…was man nach dem Hack schnell von der Webseite entfernte.

  6. KnowledgeBase sagt:

    Ohne zwanghaft über Politik zu reden kommen die Heiserinos, die hier rüberschwappen, nicht mehr aus.

    Zum Thema:
    Deswegen sollte man auch digital signierte Dateien und Programme verhaltensbasiert überwachen. Zertifikate stehlen und Buildchains zu infizieren ist von Stuxnet bekannt. Das hatte auch signierte Treiber.

    • Andreas sagt:

      Ich lese das nicht, was Du und andere als "Heise" bezeichnen, und habe auch noch nie dort Kommentare verfasst. Was Dich und andere verbindet, die Heise offensichtlich kennen und die Zustände dort beklagen, ist jedoch, dass Ihr mit Beleidigungen und Verunglimpfungen schnell bei der Hand seid. Siehe Deinen eigenen und auch den Kommentar von einem Deiner Gesinnungsgenossen unter meinem Kommentar hier vom 16.12., den ich weiter oben bereits verlinkt habe. Darüber solltest Du/solltet Ihr mal nachdenken.

      Im übrigen ist es auch ein wenig naiv, gerade beim vorliegenden Thema zu glauben, man könne die Politik aus dem Spiel lassen, denn schon der Hack an sich scheint politisch motiviert zu sein – es waren ja nach einhelliger Meinung staatliche Hacker am Werk, von wo auch immer die kommen. Außerdem sind eine große Anzahl staatlicher Institutionen betroffen. Dass unter diesen Umständen auch die Auswirkungen des Vorfalls eine politische Dimension haben, ist nicht weiter verwunderlich.

      • ErstLesenDannSchreiben sagt:

        Trump hat verloren, auch wenn hier einige nicht emotional darüber hinweg kommen.
        Borncity muss den Heisetrollen nicht noch Zuflucht gestatten.

    • Stephan sagt:

      18000 Firmen wurden infiziert, davon 425 der Fortune Top 500. Da wird jede Überwachungslösung der Welt dabei sein, inklusive der verhaltensbasierten.

      Keiner von denen hat was gemerkt.

      Der Trojaner ist erst aufgefallen, als der Angreifer «fertig» war und sich bei FireEye offenbart hat. Sonst würden sie vermutlich es bis heute nicht merken.

      • ErstLesenDannSchreiben sagt:

        Ach!
        Beitrag weder gelesen noch verstanden!
        Schlangenöl überspringt doch digital signierte Dateien!
        Das ist ja das Problem, über das gesprochen wurde oben!
        Alles scannen, ohne Ausnahme!
        Muss ich es vorkauen?

        • Stephan sagt:

          Signierte Binaries sind auch nur Schlangenöl. Die können zwar eine Hilfe sein, wenn man manuell prüft, ob man die neueste Version vom Hersteller hat, aber es ist kein automatischer Schutz.
          1. Ein Angreifer kann dir immer das signierte Binary von einer alten Version mit bekannter Schwachstelle unterjubeln, wo er dann mit einem Buffer Overflow Shellcode ausführt.
          2. Generell ist es keine gute Idee, auf einem professionellem Produktivsystem jedem Entwickler irgendeiner Software zu erlauben, ihr eigenes Installationsprogramm auszuführen und Änderungen an der Systemkonfiguration vorzunehmen. Die Erfahrung sagt, daß die Entwickler nicht sorgfältig mit dieser Verantwortung umgehen, und es reicht wenn nur ein einziges der Programme eine unsichere Konfiguration oder DLL hinterläßt. (Man denke an Oracle, die von der FTC gezwungen werden mußten, daß der JDK-Intaller alte Java-Versionen aufräumt.)

          Der ganze Updateprozeß ist schon ein Recipe for Disaster. Daß überhaupt in der Form Binaries vom Hersteller geladen werden, egal ob automatisch oder manuell.
          Schauen wir mal als Vergleich an, wie ein Update unter Debian abläuft. Disclaimer: Debian ist auch nicht perfekt, es soll hier nur als Beispiel für einen komplett anderen Ansatz dienen.
          1. Der Entwickler des Programms markiert ein neues Release in seinem Git.
          2. Die Debian-Maintainer kriegen eine Benachrichtigung auf ihrem Tracker und ziehen das Update (oder portieren es zurück).
          3. Die Debian-Maintainer legen ein neues Quellpaket mit detailliertem Changelog ins Repository. Das ist so konstruiert, daß das Upstream-Paket, die Chronik und die Änderungen durch Maintainer nachvollziehbar sind. Das Resultat ist vom Maintainer mit PGP signiert. Wenn der Upstreamcode signiert war, ist auch diese Signatur vorhanden.
          4. Jeder der will, kann die Änderung sehen und inspizieren. Dies schließt bekannte Firmen und Organisationen ein, die Debian benutzen, zum Beispiel Google und Canonical (Hersteller von Ubuntu).
          5. Die Build-Server bauen die Binaries für diverse Ports (zum Beispiel verschiedene CPU-Architekturen) und verteilen sie auf den Mirrors.
          6. Entsprechende Updatelisten werden zusammengestellt und signiert.
          7. Mit den Tools APT usw. werden die signierten Listen heruntergeladen und die Binaries für den passenden Port/Release installiert.
          8. Für die meisten (leider noch nicht alle) Pakete ist der Buildprozeß deterministisch, das heißt jeder kann die Pakete selbst kompilieren und verifizieren, daß bei demselben Quellpaket tatsächlich dasselbe Binary herauskommt.

          Wichtige Unterschiede zum Updateprozeß in der Windowswelt hier:
          a. Der Entwickler macht nicht das Installationsskript, der auf dem System (im Rahmen des Debian-Paketes) mit Rootrechten ausgeführt wird.
          b. Der Entwickler entscheidet nicht, wann ein Update geliefert wird, sondern der Maintainer.
          c. Nicht Binaries werden signiert, sondern Updatelisten. Alte Updatelisten können nicht eingespielt werden, da sie nicht lange gültig sind.
          d. Jeder kann mit einfachen Mitteln und Tools nachvollziehen, daß das Binary dem Quellpaket entspricht.

          Weder ein bösartiger Entwickler noch ein Angreifer, der den Entwickler infiziert hat, kann hier Trojaner einbringen. Selbst mit dem Signaturkey des Entwicklers müßte man noch durch diverse Instanzen durch, um einen Trojaner im System der Opfer zu plazieren. Das ist kein Zufall. Das ist das Ziel der Übung. Darum macht man ja überhaupt eine Distribution.

          Mal von Debian weg: Wie sieht es bei Apple aus? Bei Apple führt man typischerweise nicht ein Installationsprogramm vom Hersteller als Root aus. Bei Apple installiert man Programme aus dem Appstore oder als DMG, einem einheitlichen Imageformat. Im Prinzip handelt es sich dabei nur um ein Zip, das an einen festen Ort entpackt wird.

          Währnddessen tut man unter Windows so, als wäre 1994 und die Programme kämen auf Floppies. Der Administrator lädt (manuell oder automatisch) Installationsprogramme a la SETUP.EXE vom Hersteller herunter und führt die mit Administatorrechten auf dem Zielsystem aus. Dazu muß er selbst für jeden Hersteller sehen, woran er erkennt, daß das Programm die richtige Version, echt und aktuell ist. Die meisten Installer konfigurieren wie sie wollen am System herum und hinterlassen DLLs wie Kraut und Rüben. Kein Administrator kann das in einem Unternehmen mit vielen Rechnern und Programmen beherrschen. Der Prozeß ist nicht beherrschbar.

          • lopref sagt:

            Hinweis Born 20. Dezember 2020 23:19 ignoriert, "Glückwunsch"…

          • Die Aussage "Die meisten Installer konfigurieren wie sie wollen am System herum und hinterlassen DLLs wie Kraut und Rüben." gilt ebenso für Debian und andere Systeme/Distributionen, deren Aktualisierungsmechanismen nicht nur das/die Repository/ies der Distribution verwenden, sondern auch Repositories weiterer Anbieter.
            Debian verteilt z.B. weder Zeux von Adobe, VMware, Oracle, …
            Auf der anderen Seite gibt's dann die Trottel aus Redmond, die ihr (mit Update-Listen arbeitendes) Repository nicht für Anwendungssoftware von Drittanbietern öffnen.

        • 1ST1 sagt:

          Das stimmt nicht, Antivirus checkt auch signierte Dateien. Wir haben diese Solarwinds-Kagge seit ein paar Wochen in der Evaluierung, und seit letztem Mittwoch fängt unsere Antivirus-Software an, in der Installation "aufzuräumen", sprich hat diese DLL in Quarantäne geschickt. Gleich als wir das bemerkt haben und die Nachrichten zu Solarwinds gelesen haben, haben wir den Server vom Netz abgeklemmt und durchgecheckt. Der Antivirus fand letzten Donnerstag die installierten DLLs, und am Samstag *grrr* habe ich die Installations-ISO (2020.2 H1) gecheckt, auch da drin ist es. Und das nicht, weil erst seit dem signierte Dateien gescannt werden (das werden sie schon immer, weil wir auch schon echte False-Positives in signierten Dateien hatten), sondern weil unser AV erst seit dem die entsprechenden Signaturen hat. Ich habe die letzten Tage damit verbracht, die ganzen Analysen zum dem Vorfall zu lesen, um abzuschätzen, ob unser Testsystem (wir machen solche Tests mit neuer Software in einem extra Netzwerk, mit eigener Domäne, bevor wir was auf die produktiven Systeme loslassen) kompromittiert sein könnte. Es gibt ja inzwischen einigermaßen genaue Analysen der Schadroutinen. Da ist erstmal nichts wirklich verdächtiges dabei, also nichts was anfängt Dateien irgendwo hoch zu laden, zu verschlüsseln, andere Dateien zu identifizieren usw, sondern "nur" eine Calling-Home-Funktion, so ähnlich wie sie regulär auch in anderen Programmen drin sind. Ungewöhnlich sind nur die Urls wo das hinfunkt, wenn das Teil das aber versucht hätte, aus unserer Testumgebung ist kein einfaches Entweichen möglich, das wäre aufgefallen, denn solch eine Software steht erstmal unter Wiresharks-Beobachtung…

    • Günter Born sagt:

      Es wäre gut, wenn Alle verbal in Bezug auf 'heise-Trollerei' abrüsten. Danke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.