Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware

[English]Eine Code-Analyse der SolarWinds Sunburst-Backdoor durch Sicherheitsforscher von Kaspersky nährt den Verdacht, dass die Urheber in Russland zu suchen sind. Der Code ähnelt in einigen Teilen Malware, die russischen ATP-Gruppen zugeschrieben wird.


Anzeige

Über die Sunburst-Backdoor in der Orion-Software des US-Software-Anbieters SolarWinds ist es Hackern gelungen, weltweit 18.000 Rechner zu infizieren. Aktuell ist bekannt, dass um die 200 Ziele in den US aktiv über diese Backdoor angegriffen wurden. Ich hatte umfassend in den am Artikelende verlinkten Blog-Beiträgen berichtet.

Verdacht fällt auf russische Staatshacker

Bei der SolarWinds Sunburst-Backdoor gab es ja relativ schnell Verdächtigungen in Richtung einer Urheberschaft staatlich gestützter russischer Hacker, da der Angriff recht ausgefeilt war und die Eindringlinge über Monate unbemerkt US-Behörden und -Firmen ausforschen konnten. Im Blog-Beitrag Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor? hatte ich eine eine gemeinsame Erklärung von FBI, CISA, ODNI und NSA (siehe auch) erwähnt, die Russland für den Angriff verantwortlich machen.

Jetzt sind weitere Informationen aufgetaucht, die zumindest Fragen in dieser Richtung aufwerfen. Der russische Sicherheitsanbieter Kaspersky hat gerade seine Analyse der SolarWinds Sunburst-Backdoor mit interessanten Erkenntnissen auf securelist.com veröffentlicht. Ich bin vor einigen Stunden auf Twitter auf diese Analyse gestoßen.

SolarWinds Solarburst analysis

Während die Sicherheitsanalysten der Firma FireEye, die den Cyber-Angriff erstmalig aufdeckten, in ihrer Analyse zwar die Details des Angriffs offenlegten, aber dem Angreifer den vorläufigen Namen "UNC2452" gaben, hat Kaspersky interessante Details herausgefunden. Die Sicherheitsforscher schreiben, dass dieser Angriff in vielerlei Hinsicht bemerkenswert sei, u. a. wegen seiner Heimlichkeit, seiner Zielgenauigkeit und der von den Angreifern verwendeten maßgeschneiderten Sunburst-Malware.

Ähnlichkeiten im Code mit Kazur-Backdoor

Bei der Untersuchung der Sunburst-Backdoor entdeckten die Sicherheitsforscher mehrere Merkmale, die sich mit einer zuvor identifizierten Backdoor namens Kazuar überschneiden. Kazuar ist eine .NET-Backdoor, die erstmals von Palo Alto im Jahr 2017 beschrieben wurde. Palo Alto brachte Kazuar mit der APT-Gruppe Turla in Verbindung, obwohl öffentlich keine eindeutige Zuordnung bekannt gegeben wurde. Die eigenen Beobachtungen von Kaspersky bestätigen die Erkenntnis, dass die Kazuar-Backdoor zusammen mit anderen Turla-Tools bei mehreren Cyber-Angriffen in den vergangenen Jahren verwendet wurde.

Turla (auch bekannt als VENOMOUS BEAR und Waterbug) koordinierte bereits 1996 Cyber-Angriffe, bei denen Informationen abgezogen und Spionage betrieben wurde. Die russische Turla-Gruppe ist der Hauptverdächtige hinter Angriffen auf das Pentagon und die NASA, das U.S. Central Command und das finnische Außenministerium, wie Bleeping Computer hier schreibt.

Zu den ungewöhnlichen, gemeinsamen Merkmalen von Sunburst und Kazuar gehören der Algorithmus zur Generierung der für die Opfer verwendeten UIDs. Aber auch der verwendete Algorithmus zur Berechnung des Zeitraums, in dem die Malware nach der Infektion des Opfersystems inaktiv bleibt, und die umfangreiche Verwendung des FNV-1a-Hashes weisen starke Übereinstimmungen mit den Kazuar-Implementierungen auf. Kaspersky schreibt, dass der Code nicht identisch sei, aber sehr starke Ähnlichkeiten aufweise.

Starke Indizien für gemeinsame Wurzeln

Das ist zumindest ein starkes Indiz, dass die Entwicklung der Sunburst-Backdoor von der gleichen Gruppe erfolgt sein könnte, die auch die Kazuar-Backdoor implementiert hat. Natürlich wäre es auch möglich, dass sich die Entwickler der Sunburst-Backdoor von der Turla-Gruppe inspirieren ließen oder Entwickler zwischen den Teams wechselten. Eine weitere Erklärung ist auch, dass bewusst eine falsche Spur gelegt wurde. Die Kaspersky-Forscher weisen jedoch darauf hin, dass gleich drei sehr starke Übereinstimmungen in den verwendeten Techniken sehr verdächtig sei.


Anzeige

Kaspersky legt zwar keinen harten Beweis bezüglich der Urheberschaft vor. Die Kazuar-Entwickler  haben seit dem ersten Einsatz der Malware im Jahr 2017 kontinuierlich an den Funktionen gefeilt und die Codebasis der Malware überarbeitet. Kazuar-Samples werden nur sehr selten auf Malware-Analyseplattformen wie VirusTotal hochgeladen. Dies macht es extrem schwierig bis unmöglich, Änderungen zwischen den verschiedenen Malware-Varianten zu verfolgen.

Trotzdem stellte Kaspersky nun fest, dass die Entwickler von Sunburst und Kazuar mit hoher Wahrscheinlichkeit über Funktionsänderungen in der jeweils anderen Malware Bescheid wussten. Das weist auf eine Verbindung zwischen den beiden Entwicklergruppen hin. Die Sicherheitsforscher hoffen, dass in Kooperation mit anderen Forschern diese Ähnlichkeiten untersucht und mehr Fakten über Kazuar sowie den Ursprung von Sunburst herausgefunden werden kann. Beim WannaCry-Angriff gab es in den ersten Tagen nur sehr wenige Fakten, die diesen mit der Lazarus-Gruppe aus Nord-Korea in Verbindung brachte. Mit der Zeit tauchten mehr Beweise auf, diese Vermutungen bestätigen. Die Hoffnung der Kaspersky-Forscher ist es, dass durch Analysen anderer Sicherheitsforscher weiteres Lichts ins Dunkel gebracht und die losen Enden verknüpft werden können.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware

  1. Günter Born sagt:

    Hinweis: Es sind hier erneut Rants der Art "1.000 Mal die gleiche Sau durchs Dorf treiben", gefolgt von den üblichen Beschuldigungen, dass Clinton/Bush/Obama dahinter stecken, aufgetaucht. Der obige Artikel ist bewusst neutral formuliert, es ist ein Vedacht, basierend auf Indizien. Kann so sein, kann auch anders sein.

    Bevor hier aber die Troll-Arme von RT aufschlägt: Ich werde alle Kommentare mit Rants in Richtung Verschwörungstheorien herausfiltern. Danke für euer Verständnis.

  2. No sagt:

    Die Zuordnung von Malware zu bestimmten Akteuren ist immer recht schwierig und zum Teil eher Vermutung. Der genannte Artikel war bisher der einzige (den ich gelesen habe), der diese Zusammenhänge im Code aufzeigt.

    Der Fowler-Noll-Hash wurde bereits in eine der ersten Veröffentlichung genannt und ist m.E. so ungewöhnlich, dass solche Paralellen interessant sind. Wie im Artikel erwähnt, muss immer mitgedacht werden, dass die Täter bewußt falsche Spuren legen, d.h. aber auch, dass die Täter intensive "Wettbewerbsbeobachtung" betreiben.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.