Solarwinds: Noch eine Security-Firma gehackt, noch eine Malware entdeckt

20. Januar 2021, 14:35
image

Dieser Hack ist längst nicht bewältigt: Immer mehr Security-Tests bringen neue Opfer und raffinierte Tools ans Tageslicht .

Die komplexen Cyberangriffe gegen US-Behörden, Solarwinds-Kunden und Tech-Unternehmen wie Microsoft und FireEye zeigt deutlich, wie Angreifer Cloud-basierte Dienste wie Microsoft 365 und Azure Active Directory ins Visier nehmen, um auf die Anmeldedaten der Benutzer zuzugreifen – und letztlich an die wertvollsten und aktuellsten Informationen der Opfer zu gelangen.
Nun hat die Security-Firma Malwarebytes bekanntgegeben, dass sie ebenfalls von denselben Angreifern kompromittiert wurde, die die Netzwerkmanagement-Software Orion von Solarwinds infiziert haben. Diesmal nutzten die Hacker einen anderen Angriffsvektor, der privilegierten Zugriff auf Microsoft 365 und Azure ermöglicht. "Nach einer umfangreichen Untersuchung haben wir festgestellt, dass der Angreifer nur Zugriff auf eine begrenzte Teilmenge der internen Unternehmens-E-Mails erhalten hat. Wir haben keine Beweise für einen unbefugten Zugriff oder eine Kompromittierung unserer internen On-Premises- und Produktionsumgebungen gefunden", sagte Marcin Kleczynski, CEO und Mitbegründer von Malwarebytes, in einem Blog-Post. In diesem gab er die Sicherheitslücke bekannt und erklärte gleichzeitig, dass Malwarebytes kein Kunde von Solarwinds sei.
Auf die E-Mails sei über den Microsoft Graph-Dienst zugegriffen worden, heisst es ergänzend.

Sunspot, Sunburst, Teardrop und nun Raindrop

Neben neuen Opfern der Hacker gibt es nach "Sunspot", "Sunburst" und "Teardrop" auch eine neue im Zusammenhang mit der Solarwinds-Attacken stehende Malware zu vermelden. Symantec hat ein viertes Malware-Tool beschrieben, einen Dropper namens "Raindrop", der dazu verwendet wird, sich seitlich im Netzwerk des Opfers zu bewegen. Dabei werde die Angriffs-Simulations-Software Cobalt Strike ausgenutzt, um Daten auf andere Computer zu übertragen.
Eine bösartige Variante von Cobalt Strike wurde schon früher bei anderen, ebenso erfolgreichen Attacken eingesetzt, wie das Beispiel der Schweizer Firma Meier Tobler zeigt.
Anders als der früher entdeckte Teardrop-Dropper, der bei den Angriffen zur Ausführung von Cobalt Strike verwendet wurde, scheint Raindrop nicht direkt durch den Sunburst-Trojaner verbreitet worden zu sein, der in die Orion-Software-Updates von Solarwinds eingeschleust wurde: "Stattdessen taucht er an anderer Stelle in Netzwerken auf, in denen mindestens ein Computer bereits durch Sunburst kompromittiert wurde", schrieb Symantecs Threat Hunter Team in einem Blog-Post.
image
Grafik: Symantec

Tipps und Tools für Gegenmassnahmen

Mandiant, eine Tochter der gehackten Security-Firma FireEye, erklärt in einem neuen Paper namens "Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452" wie die Angreifer von Solarwinds sowie andere Akteure Unternehmen von ihren lokalen Netzwerken bis hin zu Microsoft 365 und anderen Cloud-Diensten hacken. Das Paper erklärt, wie die Angreifer in der Lage waren, die Microsoft 365 Cloud-Umgebungen der Opfer zu infiltrieren, nachdem sie auf deren Solarwinds-Software-Updates aufgesprungen waren. Dabei griffen sie hauptsächlich das Active Directory an und stahlen und fälschten Benutzer-Anmeldeinformationen.
FireEye-Forscher haben ausserdem ein kostenloses Tool namens "Azure AD Investigator" auf GitHub veröffentlicht, mit dem Unternehmen angeblich feststellen können, ob die Hacker von Solarwinds eine der bekannten Techniken in ihren Netzwerken verwendet haben.
Ein Problem scheinen ganz abgesehen davon viele 365-Benutzerkonten mit zu vielen und unnötigen Berechtigungen zu sein. Derweil hat Microsoft Abwehrmassnahmen publiziert.

"Malwarebytes-Produkte nicht infiziert"

Die Produkte von Malwarebytes seien sicher, sagt der Hersteller, da eine gründliche Analyse des "gesamten Malwarebytes-Quellcodes sowie der Erstellungs- und Auslieferungsprozesse" keine Anzeichen für einen unbefugten Zugriff oder eine Kompromittierung ergeben habe.
Derweil schafften es dieselben Verdächtigen, auch ein Microsoft-365-Zertifikat von Email-Security-Anbieter Mimecast zu erbeuten.
Sicherheitsexperten weltweit zeigen sich immer besorgter über die Dimensionen des erfolgreichen Angriffs und die Konsequenzen. Er geht auch längst über x betroffene Behörden und Firmen hinaus. Besonders interessieren sie sich für zwei Aspekte der "Angriffskampagne":
  • Die Hacker erbeuteten die "Red-Team-Assessment-Tools", mit denen FireEye die Sicherheit seiner Kunden testet. Diese sind so konzipiert, dass sie die von vielen Kriminellen verwendeten Tools imitieren. Damit erlangten die Hacker wertvolles Wissen.
  • Die Angreifer erlangten via einen Account das Recht, den Microsoft-Source Code in einer Reihe von Source-Code-Repositories einzusehen. Während sie den Code oder Systeme nicht manipulieren konnten, wie Microsoft bekannt gab, so hätten sie ihn möglicherweise aber kopieren können, um ihn nun in aller Ruhe auf potentielle künftige Schwachstellen zu untersuchen. Redmond selbst sagte, man praktiziere "keine Sicherheit durch Unklarheit" und betrachte die Einsicht in den Source Code nicht als Sicherheitsrisiko.
Basierend auf Berichten und Informationen, die von Microsoft, FireEye, Crowdstrike und anderen veröffentlicht wurden, wird davon ausgegangen, dass das Eindringen in Solarwinds Mitte 2019 stattgefunden hat.
Wir haben dazu einen Überblick zu den Anfängen und initialen Eckdaten der Entwicklung des Hacks zusammengestellt.
Die Angreifer hinter dem am 13. Dezember 2020 entdeckten "Solarwinds-Hack" werden StellarParticle (Crowdstrike), UNC2452 (FireEye) und Dark Halo (Volexity) genannt. Laut einer gemeinsamen Erklärung des FBI, CISA, ODNI und der NSA handle es sich "wahrscheinlich" um eine von Russland unterstützte APT-Gruppe. Die meisten Security-Firmen haben es bisher abgelehnt, Russland oder eine bestimmte nationalstaatliche Gruppe zu nennen. Primär Kaspersky äusserte einen möglichen Russland-Bezug.

Loading

Mehr zum Thema

image

Die IT-Woche: Polit-Krimi

Neue Bundesräte, die neue Heimat des NCSC und geschredderte Daten sorgten diese Woche für viel Diskussionsstoff.

publiziert am 9.12.2022
image

Der Bundesrat sagt: "Die Schweiz ist digital gut unterwegs"

Die Regierung stellt sich gute Noten für ihre Wirtschafts- und Arbeitsmarktpolitik im digitalen Wandel aus. Es ist ihr Fazit aus zwei Monitoring-Berichten, die allerdings Fragen aufwerfen.

publiziert am 9.12.2022
image

Pentagon verteilt seinen riesigen Cloud-Auftrag

Das Verteidigungsministerium musste das grosse Cloud-Projekt neu aufgleisen und umbenennen. Jetzt sind Milliardenzuschläge an Amazon, Google, Microsoft und Oracle gesprochen worden.

publiziert am 9.12.2022
image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022