SolarWinds-Systeme mit 2. Backdoor gefunden

[English]Sicherheitsforscher und Forensiker haben in Systemen, die mit dem SunBurst-Trojaner über die SolarWinds Orion-Software infiziert wurden, zwei weitere Malware-Varianten, Supernova und CosmicGale, gefunden. Sicherheitsforscher vermuten, dass da ein zweite Hackergruppe am Werk ist.


Anzeige

Es ist der Joke des zu Ende gehenden Jahres 2020: Die SolarWinds Orion-Software ist im breiten Einsatz, um IT-Infrastrukturen zu überwachen. Und nun erweisen sich Systemen, auf denen dieses Produkt installiert wurde, aus sicherheitstechnischen Gesichtspunkten als löchrig wie ein Schweizer Käse. Nachdem die Sunburst-Backdoor mehr oder weniger durch Zufall entdeckt wurde (siehe SUNBURST-Hack: Microsofts Analysen und Neues), hebt sich der Eisberg und es wird langsam mehr und mehr sichtbar. Auch VMware musste jetzt bekannt geben, durch die SolarWinds-Geschichte kompromittiert worden zu sein (siehe diesen Artikel).

Supernova und CosmicGale

Inzwischen schauen Computer-Forensiker ja genauer hin, wenn auf Systemen die SolarWinds Orion-Software installiert worden ist. Inzwischen wurde bekannt, das auf einigen der mit SunBurst infizierten Systemen weitere Malware gefunden wurde.

SolarWinds with Supernova und CosmicGale malware

Catalin Cimpanu weist in obigem Tweet auf diese neue Erkenntnis hin und hat auf ZDNet diesen Artikel zum Thema publiziert. Auch bei Bleeping Computer gibt es diesen Beitrag dazu. Es gibt Analysen von den Sicherheitsfirmen Guidepoint, Symantec und Palo Alto Network, die darauf hinweisen, dass weitere Schadprogramme auf den infizierten Systemen gefunden wurden. Die Berichte beschreiben, Angreifer auch eine .NET-Web-Shell namens Supernova einschleusten. Sicherheitsforscher nahme daher an, dass die Angreifer die Supernova-Web-Shell zum Herunterladen, Kompilieren und Ausführen eines bösartigen Powershell-Skripts (das von einigen als CosmicGale bezeichnet wurde) verwendeten.

ZDNet weist im Artikel aber auf eine Analyse von Microsofts Sicherheitsteams hin, aus der hervor geht, dass die SuperNove-Web-Shell nicht Teil des eigentlichen SunBurst-Angriffs ist. Unternehmen, die SuperNova auf ihren Systemen finden, müssen von einem separaten Angriff auf ihre IT ausgehen. Ein Beitrag des Microsoft-Sicherheitsanalysten Nick Carr weist darauf hin, dass die Supernova-Web-Shell auf SolarWinds Orion-Installationen platziert worden zu sein scheint, die ungeschützt gegen die Schwachstelle CVE-2019-8917 und online erreichbar waren. Die seit 2019 bekannt Schwachstelle in SolarWinds Orion-Produkten wird folgendermaßen beschrieben:

SolarWinds Orion NPM before 12.4 suffers from a SYSTEM remote code execution vulnerability in the OrionModuleEngine service. This service establishes a NetTcpBinding endpoint that allows remote, unauthenticated clients to connect and call publicly exposed methods. The InvokeActionMethod method may be abused by an attacker to execute commands as the SYSTEM user.

Durch die Schwachstelle war also eine Remote Code Execution (RCE) auf den Zielsystemen mit der Orion-Software möglich. In einer Analyse fand Microsoft heraus, dass die Supernova-DLL im Gegensatz zur Sunburst-DLL nicht mit einem legitimen digitalen Zertifikat von SolarWinds signiert wurde. Dies weicht vom raffinierten Vorgehen der SunBurst-Angreifer so gravierend ab, dass man von anderen Urhebern ausgehen sollte.

Wenn jemand so etwas vor einem halben Jahr in einem Manuskript für einen neuen Krimi beschrieben hätte, wäre das Ganze als zu unrealistisch vom Lektorat abgelehnt worden. Jetzt sind wir diesbezüglich gerade rechts überholt worden. Ich bin ja gespannt, was die Tage noch an Enthüllungen kommt.


Anzeige

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu SolarWinds-Systeme mit 2. Backdoor gefunden

  1. Alitai sagt:

    Ahh, jetzt ist klar. Der 2. Backdoor ist von den Chinesen. :)

  2. Henry Barson sagt:

    Schrieb fefe nicht schon sinngemäß, dass man da eigentlich nur planieren und sanieren und den Laden als solches dichtmachen kann?! 😂

    • Stephan sagt:

      Das sagt er doch bei Schlangenöl immer.

      SolarWinds selbst finde ich gar nicht so dramatisch. Sowas kann passieren, wenn man ins Visier gerät. Das ist zwar ein Totalschaden, daß die das als angeblicher Monitoring-Experte nicht bemerkt haben, aber das kann eben passieren. Das spricht natürlich dafür, daß SolarWinds als Anbieter kein Vertrauen mehr genießt, aber davon geht die Welt nicht unter. Dann ist halt ein Anbieter vom Markt verschwunden. Bestenfalls noch mit Konsequenzen für die Entscheider, die diesen Anbieter als vertrauenswürdig und kompetent eingestuft haben.

      Wirklich peinlich finde ich, daß diese Malware in zehntausende Firmen gelangt ist, davon 425 der Fortune Top 500, und die ganzen Anbieter von Sicherheitslösungen, die in diesen Firmen vertreten sind, alle über Monate nichts bemerkt haben. Hier ist wirklich ein globales Umdenken angesagt. Eine ganze Industrie hat versagt. Klar, Fefe und Co. sagten schon immer, daß das Quacksalber waren, und bekommen jetzt vielleicht recht, aber was bedeutet das für die Zukunft?

      Ein ehemaliger GCHQ-Direktor hat es in der Financial Times treffend zusammengefaßt:
      "Each time these intrusions are uncovered inside the supply chain of governments and companies we routinely describe them as "extremely sophisticated", indicating "nation state capability". This covers our collective embarrassment and implies that there is nothing we can do to prevent them. But it is simply not the case. The truth is that, however expert these malign cyber actors may be, they are exploiting weaknesses which we continue to tolerate."
      https://www.ft.com/content/2bed3013-b21f-4b2c-8572-b2da016d1b4e

      • Bernard sagt:

        Wie könnte man als kleines Unternehmen oder gar als Privatperson so einen Einbruch (intrusion) eigentlich bemerken?

        Es gibt viele, viele Beiträge, aber nie eine richtige Erklärung, wie man so einen Einbruch (intrusion) auffindet.

        Verwendet ein kleines Unternehmen oder eine Privatperson überhaupht SolarWinds?

        Vermutlich nicht, aber könnte es nicht doch in der einen oder anderen Software stecken? Wie kann man das überprüfen?

  3. Bernd sagt:

    Intel soll auch was abbekommen haben.

    Zitat:
    "Intel bestätigt zwar den Befall, will aber ermittelt haben, dass die Backdoor in der Software nicht benutzt wurde."

    Quelle:
    Solarwinds-Hack: Intel, Cisco und Nvidia ebenfalls betroffen
    https://t3n.de/news/solarwinds-hack-intel-cisco-1346636/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.