SolarWinds Backdoor "Sunburst"

Er ist in aller Munde: der Sunburst Hack. In einem Supply-Chain-Angriff über Updates der Software „Orion“ von SolarWinds schleusen Angreifer einen Trojaner ein und verschaffen sich dadurch weltweit Zugang in die Netzwerke diverser öffentlicher Einrichtungen, US-Behörden und Unternehmen. Die Auswirkungen dieses Angriffs sind enorm. Wir wollen an dieser Stelle sowohl die technische als auch die gesellschaftliche Seite betrachten.

Was ist Sunburst?

Eine Programmbibliothek (DLL) der SolarWinds Software Orion enthält eine als Sunburst bekannte Backdoor. Orion ist eine äußerst anpassbare Software zum Verwalten und Überwachen von IT-Systemen, die unter anderem in Rechenzentren verwendet wird. Die kompromittierten Versionen von Orion sind 2019.4 HF5 bis 2020.2.19.0. Die Malware wird über automatische Updates verbreitet. Nach einer kurzen Wartezeit verbindet sich die bösartige DLL SolarWinds.Orion.Core.BusinessLayer.dll, mit der vom Command-and-Control-Server verwendeten Domain avsvmcloud[.]com sowie Subdomains mit folgenden Zeichenketten:

• eu-west-1
• eu-west-2
• us-east-1
• us-east-2

Sobald der Trojaner in einem System ist, kann er per „Lateral Movement“ weiter in das Netzwerk vordringen und Daten kompromittieren oder exfiltrieren. Die DNS- als auch http-Anfragen zu den bösartigen Domänen sind so gestaltet, dass sie die reguläre SolarWinds-API-Kommunikation imitieren. Je nach verwendetem Benutzer gelingt es den Sunburst-Hackern so, verschiedene Befehle auszuführen. Hierzu gehören:

• Registry operations (read, write und delete registry keys/entries)
• File operations (read, write und delete files)
• Run/stop processes
• Reboot the system

Doch nicht nur das, die Malware nutzt noch andere Methoden, um sich zu verschleiern: Sie kann DNS-Anfragen durch einen Domain Name Generation Algorithm tarnen oder durch gefälschte Variablennamen Code verstecken.

Entdeckt wurde die Malware Sunburst vom IT-Sicherheitsunternehmen FireEye, die selbst von dieser kompromittiert wurden. Der Angriff läuft bereits seit Monaten, möglicherweise seit Frühjahr 2020.

Wie konnte der Hack gelingen?

Zurückzuführen ist der Erfolg des Angriffs auf eine gelinde gesagt unzureichende Passwort-Policy seitens SolarWinds. Das Passwort für die Übernahme des manipulierten Update-Servers lautete solarwinds123. Dieses unzureichende Kennwort stand unglücklicherweise auch in öffentlich zugänglichen Dokumentationen. Somit war es für die Hacker ein leichtes, den Server zu übernehmen und Schadsoftware zu verteilen. Doch die Komplexität der Malware und die Effektivität der Tarnung des Trojaners lassen vermuten, dass professionelle Hacker dahinterstecken. Aktuell wird noch immer vermutet, dass es sich um die Gruppe APT29 oder auch Cozy Bear genannt, handle.

Das Ausmaß ist noch ungewiss

Eins steht fest: Das Ausmaß ist bereits enorm. Doch das Ausmaß des vollständigen Schadens ist noch vollkommen unklar. Experten veranschlagen Monate, wenn nicht sogar Jahre bis alle Systeme wieder bereinigt und abgesichert sind. Daher ist aktuell noch nicht absehbar, welche technischen und sicherheitspolitischen Folgen der Vorfall haben wird. Noch nicht geklärt ist, warum die Investmentfirmen Silver Lake und Thoma Bravo, beide Mehrheitseigner von SolarWinds, sechs Tage vor Bekanntwerden des Hacks Aktien im Wert von 286 Millionen Dollar verkauften.

Was macht SolarWinds für Hacker so interessant?

SolarWinds ist hochinteressant für Spione, wie kriminelle Hacker, da die texanische Firma ein Managed Service Provider ist. Also Teil einer IT-Lieferkette, von der große Organisationen und Unternehmen abhängen. Dazu zählen um nur ein paar zu nennen, das US-amerikanische Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium und Teile des Pentagons. Aber auch Großkonzerne wie Cisco und Microsoft. Insgesamt 33.000 Firmen nutzen die Orion-Plattform von SolarWinds. Bekannt sind bisher 18.000 betroffene Unternehmen.

Microsoft, selbst betroffen von dem Hack, hat die größte Domain, die die Angreifer zur Kontrolle ihrer Schadsoftware nutzten, übernommen. Ebenso blockieren sie die kompromittierte Version der Software, um den Angriff zum Erliegen zu bringen.

Gibt es einen Schutz?

Die beste Maßnahme ist die Installation der von SolarWinds bereitgestellten und abgesicherten Version 2020.2.1 HF 2 von Orion.

Dennoch empfiehlt es sich weitere Maßnahmen zu berücksichtigen:

• Führen Sie einen Virenscanner aus, um kompromittierte SolarWinds-Bibliotheken zu erkennen.
• Isolieren Sie SolarWinds-Server.
• Blockieren Sie alle Internetausgänge von SolarWinds-Servern.
• Stellen Sie vor der Wiederherstellung der Systeme sicher, dass keine Malware mehr vorhanden ist. Suchen Sie in den entsprechenden Protokollen nach angegebenen IOCs. ‍
• Ändern Sie Passwörter für Konten, die Zugriff auf SolarWinds-Server oder -Infrastrukturen haben.
• Erstellen Sie ein Backup, welches offline gespeichert wird. So können Sie im Falle einer Kompromittierung alle Dateien wiederherstellen.

Wie bei allen Angriffsformen empfehlen wir ebenso die Verwendung eines zweiten Authentifizierungsfaktors. So wird verhindert, dass Zugangsdaten weiterverwendet werden können, falls diese kompromittiert wurden.

‍

‍

‍

‍

‍

‍

‍

Quellen:

https://www.solarwinds.com/securityadvisory

https://securityaffairs.co/wordpress/112376/apt/solarwinds-backdoor-kill-switch.html?utm_source=feedly&utm_medium=rss&utm_campaign=solarwinds-backdoor-kill-switch

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-solarwinds-orion-could-allow-for-arbitrary-code-execution_2020-166/

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks#preventmalwaredelivery

https://github.com/fireeye/sunburst_countermeasures

https://www.spiegel.de/netzwelt/netzpolitik/solarwinds-hack-der-spionagefall-des-jahres-a-0b728cc4-d375-4cb9-9450-3635ca8172a0