Solarwinds: Noch eine Security-Firma gehackt, noch eine Malware entdeckt

20. Januar 2021 um 14:35
image

Dieser Hack ist längst nicht bewältigt: Immer mehr Security-Tests bringen neue Opfer und raffinierte Tools ans Tageslicht .

Die komplexen Cyberangriffe gegen US-Behörden, Solarwinds-Kunden und Tech-Unternehmen wie Microsoft und FireEye zeigt deutlich, wie Angreifer Cloud-basierte Dienste wie Microsoft 365 und Azure Active Directory ins Visier nehmen, um auf die Anmeldedaten der Benutzer zuzugreifen – und letztlich an die wertvollsten und aktuellsten Informationen der Opfer zu gelangen.
Nun hat die Security-Firma Malwarebytes bekanntgegeben, dass sie ebenfalls von denselben Angreifern kompromittiert wurde, die die Netzwerkmanagement-Software Orion von Solarwinds infiziert haben. Diesmal nutzten die Hacker einen anderen Angriffsvektor, der privilegierten Zugriff auf Microsoft 365 und Azure ermöglicht. "Nach einer umfangreichen Untersuchung haben wir festgestellt, dass der Angreifer nur Zugriff auf eine begrenzte Teilmenge der internen Unternehmens-E-Mails erhalten hat. Wir haben keine Beweise für einen unbefugten Zugriff oder eine Kompromittierung unserer internen On-Premises- und Produktionsumgebungen gefunden", sagte Marcin Kleczynski, CEO und Mitbegründer von Malwarebytes, in einem Blog-Post. In diesem gab er die Sicherheitslücke bekannt und erklärte gleichzeitig, dass Malwarebytes kein Kunde von Solarwinds sei.
Auf die E-Mails sei über den Microsoft Graph-Dienst zugegriffen worden, heisst es ergänzend.

Sunspot, Sunburst, Teardrop und nun Raindrop

Neben neuen Opfern der Hacker gibt es nach "Sunspot", "Sunburst" und "Teardrop" auch eine neue im Zusammenhang mit der Solarwinds-Attacken stehende Malware zu vermelden. Symantec hat ein viertes Malware-Tool beschrieben, einen Dropper namens "Raindrop", der dazu verwendet wird, sich seitlich im Netzwerk des Opfers zu bewegen. Dabei werde die Angriffs-Simulations-Software Cobalt Strike ausgenutzt, um Daten auf andere Computer zu übertragen.
Eine bösartige Variante von Cobalt Strike wurde schon früher bei anderen, ebenso erfolgreichen Attacken eingesetzt, wie das Beispiel der Schweizer Firma Meier Tobler zeigt.
Anders als der früher entdeckte Teardrop-Dropper, der bei den Angriffen zur Ausführung von Cobalt Strike verwendet wurde, scheint Raindrop nicht direkt durch den Sunburst-Trojaner verbreitet worden zu sein, der in die Orion-Software-Updates von Solarwinds eingeschleust wurde: "Stattdessen taucht er an anderer Stelle in Netzwerken auf, in denen mindestens ein Computer bereits durch Sunburst kompromittiert wurde", schrieb Symantecs Threat Hunter Team in einem Blog-Post.
image
Grafik: Symantec

Tipps und Tools für Gegenmassnahmen

Mandiant, eine Tochter der gehackten Security-Firma FireEye, erklärt in einem neuen Paper namens "Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452" wie die Angreifer von Solarwinds sowie andere Akteure Unternehmen von ihren lokalen Netzwerken bis hin zu Microsoft 365 und anderen Cloud-Diensten hacken. Das Paper erklärt, wie die Angreifer in der Lage waren, die Microsoft 365 Cloud-Umgebungen der Opfer zu infiltrieren, nachdem sie auf deren Solarwinds-Software-Updates aufgesprungen waren. Dabei griffen sie hauptsächlich das Active Directory an und stahlen und fälschten Benutzer-Anmeldeinformationen.
FireEye-Forscher haben ausserdem ein kostenloses Tool namens "Azure AD Investigator" auf GitHub veröffentlicht, mit dem Unternehmen angeblich feststellen können, ob die Hacker von Solarwinds eine der bekannten Techniken in ihren Netzwerken verwendet haben.
Ein Problem scheinen ganz abgesehen davon viele 365-Benutzerkonten mit zu vielen und unnötigen Berechtigungen zu sein. Derweil hat Microsoft Abwehrmassnahmen publiziert.

"Malwarebytes-Produkte nicht infiziert"

Die Produkte von Malwarebytes seien sicher, sagt der Hersteller, da eine gründliche Analyse des "gesamten Malwarebytes-Quellcodes sowie der Erstellungs- und Auslieferungsprozesse" keine Anzeichen für einen unbefugten Zugriff oder eine Kompromittierung ergeben habe.
Derweil schafften es dieselben Verdächtigen, auch ein Microsoft-365-Zertifikat von Email-Security-Anbieter Mimecast zu erbeuten.
Sicherheitsexperten weltweit zeigen sich immer besorgter über die Dimensionen des erfolgreichen Angriffs und die Konsequenzen. Er geht auch längst über x betroffene Behörden und Firmen hinaus. Besonders interessieren sie sich für zwei Aspekte der "Angriffskampagne":
  • Die Hacker erbeuteten die "Red-Team-Assessment-Tools", mit denen FireEye die Sicherheit seiner Kunden testet. Diese sind so konzipiert, dass sie die von vielen Kriminellen verwendeten Tools imitieren. Damit erlangten die Hacker wertvolles Wissen.
  • Die Angreifer erlangten via einen Account das Recht, den Microsoft-Source Code in einer Reihe von Source-Code-Repositories einzusehen. Während sie den Code oder Systeme nicht manipulieren konnten, wie Microsoft bekannt gab, so hätten sie ihn möglicherweise aber kopieren können, um ihn nun in aller Ruhe auf potentielle künftige Schwachstellen zu untersuchen. Redmond selbst sagte, man praktiziere "keine Sicherheit durch Unklarheit" und betrachte die Einsicht in den Source Code nicht als Sicherheitsrisiko.
Basierend auf Berichten und Informationen, die von Microsoft, FireEye, Crowdstrike und anderen veröffentlicht wurden, wird davon ausgegangen, dass das Eindringen in Solarwinds Mitte 2019 stattgefunden hat.
Wir haben dazu einen Überblick zu den Anfängen und initialen Eckdaten der Entwicklung des Hacks zusammengestellt.
Die Angreifer hinter dem am 13. Dezember 2020 entdeckten "Solarwinds-Hack" werden StellarParticle (Crowdstrike), UNC2452 (FireEye) und Dark Halo (Volexity) genannt. Laut einer gemeinsamen Erklärung des FBI, CISA, ODNI und der NSA handle es sich "wahrscheinlich" um eine von Russland unterstützte APT-Gruppe. Die meisten Security-Firmen haben es bisher abgelehnt, Russland oder eine bestimmte nationalstaatliche Gruppe zu nennen. Primär Kaspersky äusserte einen möglichen Russland-Bezug.

Loading

Mehr erfahren

Mehr zum Thema

image

DDoS-Angriff trifft Swisscom und legte Twint lahm

Swisscom spricht von einem "grösseren Angriff". Nach mehreren Stunden sei dieser abgwehrt worden. E-Bankingservices und Mobile-Payment-Lösungen sollten wieder normal laufen.

publiziert am 23.8.2024
image

Nächste kritische Lücke im "Web Help Desk" von Solarwinds

Das Unternehmen muss erneut notfallmässig patchen.

publiziert am 23.8.2024
image

Cyberangriffe in der Schweiz: DDoS liegt vor Ransomware an der Spitze

Die Monitoring-Plattform Falconfeeds.io hat für uns Zahlen zu den Cyberangriffen und Data-Breaches in der Schweiz ausgewertet. Ransomware-Attacken würden zunehmen.

publiziert am 23.8.2024
image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste deswegen die Produktion unter­brochen werden.

publiziert am 22.8.2024