Ein Angreifer hat die IT-Überwachungslösung SolarWinds Orion Platform kompromittiert, die oft Zugang zu den sensibelsten Geheimnissen eines Unternehmens hat. Während sich die derzeitige Situation noch in der Entwicklung befindet und eine weitere Evaluierung erfordert, hat das Ausmaß dieses Angriffs globale Auswirkungen und die betroffenen Unternehmen müssen sofort handeln.
Hinweis: Es handelt sich hier um eine aktuelle Momentaufnahme. Aus diesem Grund können einige Informationen in diesem Beitrag an neue Erkenntnisse über die Kampagne des Angreifers angepasst werden.
Angriff auf die Lieferkette mit mehreren hochkarätigen Opfern
In der öffentlichen Berichterstattung wurden Details zu einer globalen Kampagne eines äußerst fähigen Angreifers aufgedeckt, der derzeit unter dem Namen “UNC2452” geführt wird und weit verbreitete Software für das Netzwerkmanagement als Teil eines Supply-Chain-Angriffs gegen mehrere hochrangige Opfer kompromittiert. Bei der betroffenen Software handelt es sich um die SolarWinds Orion Platform. Bei dem Angriff wurde eine als “SUNBURST” bekannte bösartige Backdoor in eine der Bibliotheken dieser Anwendung eingefügt, die es dem Angreifer ermöglicht, sich Zugang zu dem betroffenen System zu verschaffen.
Aus dem 8-K SEC-Bericht von SolarWinds geht hervor, dass der bösartige Code als Teil des Kompiliervorgangs eingefügt wurde und der Quellcode nicht direkt betroffen war. Das Update sieht für die Opfer legitim aus, da es als Teil eines offiziellen Updates installiert und mit einem legitimen SolarWinds-Zertifikat signiert wurde.
Aktuelle Meldungen weisen darauf hin, dass die bösartigen Updates seit März 2020 an SolarWinds-Kunden ausgeliefert wurden und bis Juni 2020 andauerten. Eine Analyse von Microsoft zeigt, dass es in einigen früheren Updates nicht bösartige Anomalien gibt, die möglicherweise darauf hindeuten, dass ein Angreifer Zugriff auf den Kompiliervorgang hatte, der mindestens bis Oktober 2019 zurückreicht.
Die Existenz des bösartigen Updates deutet nicht auf eine aktive Ausnutzung hin
In dem SEC-Bericht deutet SolarWinds darauf hin, dass mehr als 17.000 Unternehmen möglicherweise ein Update erhalten haben, das den bösartigen Code enthält. Die Tatsache, dass das bösartige Update vorhanden ist, deutet jedoch nicht auf eine tatsächliche Kompromittierung eines Unternehmens durch den Angreifer hin. Da es sich um eine Kompromittierung der Lieferkette handelt, hatte der Bedrohungsakteur keine Kontrolle darüber, welche SolarWinds-Kunden das Update heruntergeladen haben; daher ist die Anzahl der aktiv ausgenutzten Unternehmen wahrscheinlich geringer als die Gesamtzahl derer, die das bösartige Update erhalten haben.
Zu den ersten aktiv ausgenutzten Opfern gehörten Berichten zufolge insbesondere mehrere US-Regierungsorganisationen sowie das US-Cybersecurity-Unternehmen FireEye. Microsoft hat inzwischen gemeldet, dass mehr als 40 Unternehmen in 8 Ländern aktiv von diesem Angriff betroffen sind. Dazu gehören die Vereinigten Staaten, Kanada, Mexiko, Israel, die Vereinigten Arabischen Emirate, Belgien, Spanien und das Vereinigte Königreich.
Zum jetzigen Zeitpunkt handelt es sich bei den als aktiv kompromittiert gemeldeten Unternehmen als solche, die auf Regierungsebene tätig sind oder mit Regierungsbehörden zusammenarbeiten. Es ist zu erwarten, dass diese Unternehmen die Aufmerksamkeit von Angreifern wie UNC2452 auf sich ziehen werden, da sie über ein hohes Maß an Know-how und Ressourcen für ihre Zwecke verfügen. Durch die Kompromittierung der Lieferkette sind weitere Angriffsziele möglich, aber es ist unwahrscheinlich, dass sie zu Beginn des Angriffs direkt im Visier der Angreifer standen.
Von der “Backdoor” zur vollen Kontrolle
Berichten zufolge bleibt die Backdoor nach der Installation bis zu zwei Wochen lang inaktiv, bevor sie eine Reihe von “Prüfungen” durchführt, um zu verhindern, dass die Backdoor dann genutzt wird, wenn Sicherheitstools gegenwärtig sind oder das betroffene Gerät sich im SolarWinds-Netzwerk befindet. Bei manchen Prüfungen bleibt die Hintertür bis zum Bestehen inaktiv, während bei anderen ein automatischer Versuch unternommen wird, die Sicherheitstools trockenzulegen, bevor die Prüfungen erneut durchgeführt werden, um festzustellen, ob dies erfolgreich war.
Wenn alle Prüfungen bestanden werden, versucht die Backdoor, mit einem bestimmten Command-and-Control-Server (C2) zu kommunizieren, der einen Hash von Informationen des Hosts mit drei anderen statischen Komponenten kombiniert, die aus dem Code der Backdoor zusammengestellt werden. Der C2-Kanal ermöglicht es dem Angreifer, eine Reihe von Befehlen zu erteilen, um weiter in das Netzwerk des Opfers vorzudringen.
Aus Berichterstattungen geht hervor, dass nach dem der Angreifer die volle Kontrolle erlangt hat, weitere Handlungen von Opfer zu Opfer variieren. Als Teil der anfänglichen Aktivität nutzt der Angreifer einen benutzerdefinierten speicherbasierten Dropper namens “TEARDROP”. Diese bisher unbekannte Malware soll als Dienst fortbestehen und in mindestens einem Fall zum Einschleusen eines Cobalt Strike Beacon verwendet werden, obwohl es auch möglich ist, dass sie zum Einschleusen von anderem Schadcode verwendet wird.
Hoch privilegierten Zugriff erhalten.
Nach diesen ersten Schritten nutzt der Angreifer bekanntere Techniken wie PowerShell und systemeigene Dienstprogramme, um seine Zugriffsrechte zu erweitern und sich im Netzwerk des Opfers weiter fortzubewegen. Der Angreifer versucht nun, Befehle zu verschleiern und sich in bestimmte legitime Aktivitäten zu integrieren.
Wie weiter berichtet wird, kompromittiert der Angreifer wichtige Authentifizierungsmechanismen, um hoch privilegierten Zugriff zu erhalten. Der Missbrauch von SAML-Tokens spielt dabei eine wichtige Rolle und wird derzeit durch die Kompromittierung der SAML-Token-Signaturzertifikate der Unternehmen erreicht. Der CISA-Alarm AA20-352A5 weist darauf hin, dass der Missbrauch von SAML-Tokens bei Angriffen, die mit diesem Angreifer in Verbindung gebracht werden, über die direkt mit SolarWinds in Verbindung stehenden Angriffe hinaus üblich zu sein scheint.
Der Angreifer wurde dabei beobachtet, wie er den über SAML erlangten Zugriff nutzt, um auf wichtige Ressourcen in Cloud- und Online-Diensten der Opfer zuzugreifen. Dazu gehört auch der Zugriff auf Benutzerdateien und E-Mails. Microsoft hat eine sehr gute Ressource für die Jagd auf diese und die weiteren Aktivitäten des Angreifers aus dieser Aktion zur Verfügung gestellt.
Die wichtigsten Ziele
Die Hauptziele des Angreifers sollen die Einrichtung eines langfristigen, dauerhaften Zugriffs auf das Opfer und der Diebstahl sensibler Daten sein. Die technischen Details der langfristigen Persistenz sind im Microsoft-Blog gut beschrieben, wo der Missbrauch von Federation Trusts und OAuth Applications oder Service Principals erwähnt wird.
Entsprechende Berichte wichtiger Beteiligter, die den Angriff untersuchten, betonen die hoch entwickelten Fähigkeiten des Angreifers und seine Überlegungen der betrieblichen Sicherheit, die es ihm ermöglichten, sich mit legitimen Funktionen zu tarnen. Daher sollten Unternehmen, in denen die entsprechende Software installiert ist, angemessene Schritte unternehmen, um diese Bedrohung zu untersuchen, einzudämmen und zu beseitigen.
Eine sich weiter entwickelnde Untersuchung
Es ist wichtig zu erwähnen, dass das Verständnis in der Öffentlichkeit mit dem Fortschreiten der zahlreichen Untersuchungen immer wieder aktualisiert wurde. Ein wichtiges Update seit der ersten Veröffentlichung ist die Klärung der Clusteraktivitäten “SUPERNOVA” und “COSMICGALE”, die nicht direkt mit der eigentlichen Kompromittierung der SolarWinds-Lieferkette zusammenhängen. Diese Aktivitäten stehen Berichten zufolge im Zusammenhang mit der Ausnutzung von CVE-2019-8917 und werden sowohl von Microsoft als auch von FireEye als eigenständige Angreifer verfolgt. Die Erkennung dieser bösartigen Aktivität ist weiterhin wichtig, es sollte jedoch nicht davon ausgegangen werden, dass sie mit dem größeren SolarWinds-Aktivitätscluster in Verbindung steht.
Was Ihr Unternehmen gegen den SolarWinds-Hack unternehmen sollte
Die hoch entwickelten Fähigkeiten des Angreifers ermöglichen es ihm, seine Aktivitäten mit legitimen Geschäftsfunktionen zu vermengen. Deshalb ist es von entscheidender Bedeutung, dass Unternehmen, die die betroffene Software installiert haben, Schritte zur Untersuchung, Eindämmung und Behebung dieser Bedrohung unternehmen.
Alle Server, auf denen die anfällige Software installiert ist, sollten isoliert und auf Anzeichen einer Kompromittierung untersucht werden. Nach der Untersuchung sollten Unternehmen vorrangig den Hotfix für die SolarWinds Orion Platform installieren, der das Produkt auf die Version 2020.2.1 HF 2″ aktualisiert.
SolarWinds berichtet, dass der Hotfix die vom Angreifer hinzugefügten kompromittierten Elemente entfernt und zusätzliche Sicherheitsverbesserungen für das Produkt enthält. Diese Maßnahme sollte das Risiko einer aktiven Ausnutzung durch die Backdoor mindern, aber sie würde eine aktive Kompromittierung über die Backdoor hinaus nicht vollständig verhindern.
Es muss mehr getan werden
Diese Angriffe werden im Allgemeinen als Teil einer Cyberspionage-Kampagne interpretiert, sind aber für Unternehmen weltweit von Bedeutung. Ähnliche Ansätze werden von hochgradig fähigen Angreifern in kritischen Branchen zur aggressiven Beschaffung von Netzwerkzugängen verwendet.
Dies ist Teil eines “hybriden” Ansatzes zur Machtdemonstration und Kriegsführung, der nun überall in Unternehmensnetzwerke eindringen könnte. Ebenso haben die Angriffe eine destabilisierende Wirkung. Sie untergraben das Vertrauen in die Technologie- und Sicherheitsunternehmen, auf die wir uns verlassen, um eine zunehmend digitale Wirtschaft zu ermöglichen.
Es besteht jedoch die Hoffnung, dass die Gegenreaktion auf die SolarWinds-Hacks einen positiven Effekt haben könnte. In der internationalen Gemeinschaft hat sich die Erkenntnis durchgesetzt, dass mehr getan werden muss. Die Entschlossenheit zur Zusammenarbeit über internationale Grenzen hinweg und zwischen Regierungen und privaten Unternehmen ist gestiegen.
Kategorien