Solarwinds: Hacken Montag - Freitag, 8 - 20 Uhr

24. März 2021, 14:14
image

Die Schweizer Security-Firma Prodaft hat sich Zugriff auf Server einer professionellen Hackergruppe verschafft, die ihren Code gar an den Opfern testete.

Die Schweizer Cybersecurity-Firma Prodaft hat nach eigenen Angaben auf die Server einer Hackergruppe zugegriffen, die mit dem Solarwinds-Angriff in Verbindung stehen soll.
Die Gruppe wird "Silverfish" genannt und sei nachwievor aktiv. "In diesem Bericht konnten wir verschiedene Server und Proben analysieren, die es uns ermöglichten, die Silverfish-Gruppe mit den berüchtigten Solarwinds-Angriffen in Verbindung zu bringen", schreiben die Autoren aus Yverdons-les-Bains.
Grundsätzlich hätten sie einen Teil einer grösseren Infrastruktur mit "starken Verbindungen" zu Solarwinds-Attacken bei drei angegriffenen Firmen entdeckt. "Wir können daraus schliessen, dass diese Server höchstwahrscheinlich zu einem bestimmten Zeitpunkt in die Kampagne involviert waren", heisst es dazu.
Zudem könne man "Silverfish" mit den bekannten, vermutlich russischen Hackern der Gruppe "Evil Corp" in Verbindung bringen, heisst es weiter. Allerdings bezeichnet Prodaft die Hacker nicht als Russen, im Unterschied beispielsweise zu den US-Behörden. Trotzdem deute das Vorgehen, die Opfer und der Mangel an kommerziellen Motiven auf staatlich unterstützte Angreifer hin, so Prodaft.
Nun könne man im Report erstmals einen Blick "hinter die feindlichen Linien" werfen.
Auf 51 Seiten zeigt die Security-Firma aus Yverdon ihre Erkenntnisse bezüglich Taktiken, Techniken und Verfahren auf: Ergebnisse des C&C-Servers, Befehlsstatistiken, Infektionsdaten, Zielsektoren und -länder, verwendete Tools und anderes mehr.
Im Zeitraum ab 20. Dezember 2020 - kurz nach Bekanntwerden des Solarwinds-Hacks – habe man die Untersuchung im Auftrag eines Kunden begonnen.
Gefunden habe man eine "extrem ausgeklügelte Cyber-Attacke" einer "extrem gut organisierten Hackergruppe" auf 4720 Ziele in Nordamerika, Australien und Europa. Zu den erfolgreich kompromittierten Behörden und Firmen gehören laut Prodaft eine US-Behörde mit drei Buchstaben als Namen, mindestens 5 weltweit führende IT-Hersteller und Lösungsanbieter, drei Polizei-Netzwerke, mindestens 4 weltweit anerkannte IT-Security-Anbieter, Dutzende von Finanzdienstleistern, Flughafenbetreiber, einer der weltweit führenden Hersteller von Covid-19-Tests und andere mehr.

Ausschliesslich kritische IT-Infrastruktur im Visier

Es handle sich samt und sonders um Ziele im Bereich kritische Infrastruktur, darunter aus 6 europäischen Ländern. Basierend auf einer Karte im Prodaft-Report kann man schliessen, dass allfällige Schweizer Opfer nicht identifiziert wurden. Informiert sind  die Schweizer Behörden jedenfalls: Das GovCERT Schweiz und die Kantonspolizei Waadt werden explizit für die Kooperation verdankt.
Nicht auf der Liste von Zielen vermerkt sind hingegen Russland, Ukraine, Georgien und Usbekistan.
Diese Aussagen zu Opfern basieren mindestens teilweise auf von Profdat entdeckten Listen kompromittierter Organisationen sowie Indizien, die darauf hinweisen, dass die Hackergruppe ihre Opfer seit August 2020 aktiv ins Visier genommen hatte, dann zwischen Ende November und Januar 2021 "pausierte", um dann wieder weiterzuarbeiten.
Allerdings wird aus dem Report nicht klar, ob die Opfer "nur" kompromittiert wurden oder tatsächlich Informationen abflossen.

Teambasiertes Workflow-Modell und ein Triage-System wie überall

Man habe jedenfalls 4 zur APT-Gruppe "Silverfish" gehörende Teams identifizieren können, 301, 302, 303 und 304 genannt. Diese betreiben oder betrieben Server in Russland und der Ukraine und hacken in festen Arbeitszeiten. Sie waren am aktivsten von Montag bis Freitag zwischen 8 und 20 Uhr, so der Bericht.
Die Hacker schrieben Kommentare "in russischem Slang und Umgangssprache", aber Englisch war eine weitere Hauptsprache. Im Quellcode verewigten sie sich mit ID-Nummern und Spitznamen – darunter "riki netsupport", "cyberbro netsupport" und "walter".
Sonst wird strukturiert und systematisch gearbeitet wie in seriösen IT-Abteilungen auch. "Silverfish verwendet ein teambasiertes Workflow-Modell und ein Triage-System, das modernen Projektmanagement-Anwendungen wie Jira ähnelt. Wann immer ein neues Opfer infiziert wird, wird es dem aktuellen 'Aktiven Team' zugewiesen, das vom Administrator vorausgewählt wird. Jedes Team auf dem C&C-Server kann nur die Opfer sehen, die ihnen zugewiesen sind. Darüber hinaus hat das System die Möglichkeit, Opfer automatisch zuzuordnen, basierend auf der aktuellen Arbeitslast eines Teams", heisst es.
In einem gewissen Sinne die interessanteste Entdeckung: Die Opfer dienten den Hackern als realistische Sandbox dank einem selbst entwickelten Web Panel: "Das PTI-Team hat beobachtet, dass die Silverfish-Gruppe eine beispiellose Sandbox für die Malware-Erkennung entwickelt hat, die aus realen Unternehmensopfern besteht und es den Angreifern ermöglicht, ihre bösartigen Code auf realen Opferservern mit verschiedenen Antiviren- und Endpoint Detection and Response-Lösungen für Unternehmen zu testen, was die hohe Erfolgsquote der Silverfish-Gruppe weiter erhöht."
Der lesenswerte Bericht von Prodaft, den Malwarebytes bei 'Bloomberg' als plausibel bezeichnet, ist als PDF verfügbar.
Die Romands, welche laut 'ICTjournal" mehr als 40 Mitarbeitende in mehreren europäischen Ländern beschäftigen, haben die Behörden entsprechend informiert.
Es ist davon auszugehen, dass weitere Hackergruppen neben Silverfish die Solarwinds-Backdoor ausnützen. Der Hack zieht jedenfalls immer weitere Kreise. Kürzlich wurden vier neue Malware-Stämme entdeckt und der US-Senat führte ein erstes öffentliches Hearing dazu durch.
Ausserdem gehört Microsoft selbst zu den Opfern, Hacker hatten Zugriff auf Quellcode von Azure, Exchange und Intune, ohne diesen aber zu manipulieren, versichert der Tech-Gigant
Wer sich für die "Evil Corp" – offenbar Freunde oder Arbeitskollegen von Silverfish – interessiert, die mit dem Banking Trojaner Dridex sowie der Ransomware WastedLocker in Verbindung gebracht werden: Der Security-Journalist Brian Krebs zeigte deren Innenleben 2019 eindrucksvoll auf.

Loading

Mehr zum Thema

image

Talkeasy Schweiz wird liquidiert

Am 14. Dezember 2022 wurde Talkeasy aufgelöst. Der Schweizer Telco war für seine aggressive Kundenbindung bekannt.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023