Solarwinds: Noch eine Security-Firma gehackt, noch eine Malware entdeckt

20. Januar 2021, 14:35
image

Dieser Hack ist längst nicht bewältigt: Immer mehr Security-Tests bringen neue Opfer und raffinierte Tools ans Tageslicht .

Die komplexen Cyberangriffe gegen US-Behörden, Solarwinds-Kunden und Tech-Unternehmen wie Microsoft und FireEye zeigt deutlich, wie Angreifer Cloud-basierte Dienste wie Microsoft 365 und Azure Active Directory ins Visier nehmen, um auf die Anmeldedaten der Benutzer zuzugreifen – und letztlich an die wertvollsten und aktuellsten Informationen der Opfer zu gelangen.
Nun hat die Security-Firma Malwarebytes bekanntgegeben, dass sie ebenfalls von denselben Angreifern kompromittiert wurde, die die Netzwerkmanagement-Software Orion von Solarwinds infiziert haben. Diesmal nutzten die Hacker einen anderen Angriffsvektor, der privilegierten Zugriff auf Microsoft 365 und Azure ermöglicht. "Nach einer umfangreichen Untersuchung haben wir festgestellt, dass der Angreifer nur Zugriff auf eine begrenzte Teilmenge der internen Unternehmens-E-Mails erhalten hat. Wir haben keine Beweise für einen unbefugten Zugriff oder eine Kompromittierung unserer internen On-Premises- und Produktionsumgebungen gefunden", sagte Marcin Kleczynski, CEO und Mitbegründer von Malwarebytes, in einem Blog-Post. In diesem gab er die Sicherheitslücke bekannt und erklärte gleichzeitig, dass Malwarebytes kein Kunde von Solarwinds sei.
Auf die E-Mails sei über den Microsoft Graph-Dienst zugegriffen worden, heisst es ergänzend.

Sunspot, Sunburst, Teardrop und nun Raindrop

Neben neuen Opfern der Hacker gibt es nach "Sunspot", "Sunburst" und "Teardrop" auch eine neue im Zusammenhang mit der Solarwinds-Attacken stehende Malware zu vermelden. Symantec hat ein viertes Malware-Tool beschrieben, einen Dropper namens "Raindrop", der dazu verwendet wird, sich seitlich im Netzwerk des Opfers zu bewegen. Dabei werde die Angriffs-Simulations-Software Cobalt Strike ausgenutzt, um Daten auf andere Computer zu übertragen.
Eine bösartige Variante von Cobalt Strike wurde schon früher bei anderen, ebenso erfolgreichen Attacken eingesetzt, wie das Beispiel der Schweizer Firma Meier Tobler zeigt.
Anders als der früher entdeckte Teardrop-Dropper, der bei den Angriffen zur Ausführung von Cobalt Strike verwendet wurde, scheint Raindrop nicht direkt durch den Sunburst-Trojaner verbreitet worden zu sein, der in die Orion-Software-Updates von Solarwinds eingeschleust wurde: "Stattdessen taucht er an anderer Stelle in Netzwerken auf, in denen mindestens ein Computer bereits durch Sunburst kompromittiert wurde", schrieb Symantecs Threat Hunter Team in einem Blog-Post.
image
Grafik: Symantec

Tipps und Tools für Gegenmassnahmen

Mandiant, eine Tochter der gehackten Security-Firma FireEye, erklärt in einem neuen Paper namens "Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452" wie die Angreifer von Solarwinds sowie andere Akteure Unternehmen von ihren lokalen Netzwerken bis hin zu Microsoft 365 und anderen Cloud-Diensten hacken. Das Paper erklärt, wie die Angreifer in der Lage waren, die Microsoft 365 Cloud-Umgebungen der Opfer zu infiltrieren, nachdem sie auf deren Solarwinds-Software-Updates aufgesprungen waren. Dabei griffen sie hauptsächlich das Active Directory an und stahlen und fälschten Benutzer-Anmeldeinformationen.
FireEye-Forscher haben ausserdem ein kostenloses Tool namens "Azure AD Investigator" auf GitHub veröffentlicht, mit dem Unternehmen angeblich feststellen können, ob die Hacker von Solarwinds eine der bekannten Techniken in ihren Netzwerken verwendet haben.
Ein Problem scheinen ganz abgesehen davon viele 365-Benutzerkonten mit zu vielen und unnötigen Berechtigungen zu sein. Derweil hat Microsoft Abwehrmassnahmen publiziert.

"Malwarebytes-Produkte nicht infiziert"

Die Produkte von Malwarebytes seien sicher, sagt der Hersteller, da eine gründliche Analyse des "gesamten Malwarebytes-Quellcodes sowie der Erstellungs- und Auslieferungsprozesse" keine Anzeichen für einen unbefugten Zugriff oder eine Kompromittierung ergeben habe.
Derweil schafften es dieselben Verdächtigen, auch ein Microsoft-365-Zertifikat von Email-Security-Anbieter Mimecast zu erbeuten.
Sicherheitsexperten weltweit zeigen sich immer besorgter über die Dimensionen des erfolgreichen Angriffs und die Konsequenzen. Er geht auch längst über x betroffene Behörden und Firmen hinaus. Besonders interessieren sie sich für zwei Aspekte der "Angriffskampagne":
  • Die Hacker erbeuteten die "Red-Team-Assessment-Tools", mit denen FireEye die Sicherheit seiner Kunden testet. Diese sind so konzipiert, dass sie die von vielen Kriminellen verwendeten Tools imitieren. Damit erlangten die Hacker wertvolles Wissen.
  • Die Angreifer erlangten via einen Account das Recht, den Microsoft-Source Code in einer Reihe von Source-Code-Repositories einzusehen. Während sie den Code oder Systeme nicht manipulieren konnten, wie Microsoft bekannt gab, so hätten sie ihn möglicherweise aber kopieren können, um ihn nun in aller Ruhe auf potentielle künftige Schwachstellen zu untersuchen. Redmond selbst sagte, man praktiziere "keine Sicherheit durch Unklarheit" und betrachte die Einsicht in den Source Code nicht als Sicherheitsrisiko.
Basierend auf Berichten und Informationen, die von Microsoft, FireEye, Crowdstrike und anderen veröffentlicht wurden, wird davon ausgegangen, dass das Eindringen in Solarwinds Mitte 2019 stattgefunden hat.
Wir haben dazu einen Überblick zu den Anfängen und initialen Eckdaten der Entwicklung des Hacks zusammengestellt.
Die Angreifer hinter dem am 13. Dezember 2020 entdeckten "Solarwinds-Hack" werden StellarParticle (Crowdstrike), UNC2452 (FireEye) und Dark Halo (Volexity) genannt. Laut einer gemeinsamen Erklärung des FBI, CISA, ODNI und der NSA handle es sich "wahrscheinlich" um eine von Russland unterstützte APT-Gruppe. Die meisten Security-Firmen haben es bisher abgelehnt, Russland oder eine bestimmte nationalstaatliche Gruppe zu nennen. Primär Kaspersky äusserte einen möglichen Russland-Bezug.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

UK-Behörde untersucht Cloud-Dienste von Microsoft, Amazon und Google

Die britische Medienaufsichtsbehörde Ofcom will die Marktposition der US-Hyperscaler untersuchen und herausfinden, ob es wettbewerbsrechtliche Bedenken gibt.

publiziert am 22.9.2022