Microsoft: SolarWinds-Hacker greifen auf Unternehmens-Quellcode zu

Artikel ansehen

Demgemäß hätte er bereits schon im vergangenen Jahr SolarWinds darüber informiert, dass das von ihnen für die Update-Server verwendete Passwort „solarwinds123“ zu schwach sei.

Vinoth Kumar hat zwar mit seiner Aussage recht, aber er musste auch zugeben, dass diese Tatsache nichts mit den aktuellen Hacks über die Orion-Plattform zu tun hat…

Das kann auch schlichtweg nicht, da dieses PW ausschließlich nur für eine Verbindung des Orion-Client zum Frontend des Update-Servers genutzt wurde, um dann den Client zu aktualisieren! Mit dem PW hatte man aber keinerlei Zugriff zum Backend des Servers! Dieser Zugriff wäre aber nötig gewesen, um die kompromittierten DLLs auf dem Update-Server einzuschleusen!! :wink:

Wer hätte vor 10 Monaten gedacht, als der Hack der Solarwinds-Plattform Orion eingeleitet wurde, wie weitreichend und effektiv der Schad-Code, welcher über die Orion Update-Engine verteilt wurde, sich bei den Wirtschaftsgrößen weltweit reinfressen konnte ?!? Ich vermute mal, fast niemand…? :thinking:
18.000 Solarwinds-Kunden wurden wohl infiziert - Microsoft gab vor ca. zwei Wochen bekannt, dass es mehr als 40 Regierungsbehörden, Think Tanks, Nichtregierungsorganisationen und IT-Unternehmen identifiziert hat, die die Hacker infiltriert haben über Orion. Auch Microsoft selbst ist von der Hacker-Attacke betroffen…
Ein Teil des Schad-Codes ist die Sunburst-Backdoor! Bei der Analyse dieses weltweiten Angriffs über die letzten Tage, wurden zumindest Details ermittelt, welche zumindest zu einem wichtigen Entwicklungsanteil der Malware gehören und sogar Muster aus der Vergangenheit mit aufzeigen!!

Forscher haben bemerkenswerte Code-Überschneidungen zwischen der Sunburst-Backdoor und einer bekannten Turla-Waffe entdeckt.

Neue Details über die Sunburst-Backdoor, die in der ausgedehnten Supply-Chain-Attacke von SolarWinds verwendet wurde, stellen möglicherweise eine Verbindung zu zuvor bekannten Aktivitäten der APT-Gruppe (Advanced Persistent Threat) Turla her.

Forscher von Kaspersky haben mehrere Code-Ähnlichkeiten zwischen Sunburst und der Kazuar-Backdoor aufgedeckt. Kazuar ist eine mit dem .NET-Framework geschriebene Malware, die erstmals 2017 von Palo Alto gemeldet wurde (obwohl ihre Entwicklung bis ins Jahr 2015 zurückreicht).

Laut Kaspersky wurde sie als Teil von Cyberspionage-Angriffen auf der ganzen Welt gesichtet. Forscher dort sagten, dass es in den letzten drei Jahren bei mehreren Einbrüchen immer wieder zusammen mit bekannten Turla-Tools eingesetzt wurde. Turla (auch bekannt als Snake, Venomous Bear, Waterbug oder Uroboros) ist ein russischsprachiger Bedrohungsakteur, der seit 2014 bekannt ist, dessen Wurzeln aber laut früheren Untersuchungen von Kaspersky bis ins Jahr 2004 und früher zurückreichen.

Zu den Überschneidungen zwischen Sunburst und Kazuar gehören ein Algorithmus zum Schlafen, die umfangreiche Verwendung des FNV-1a-Hashes und der Algorithmus zur Generierung eindeutiger IDs (UIDs) für die Opfer.

„Nachdem die Sunburst-Malware im Februar 2020 zum ersten Mal eingesetzt wurde, entwickelte sich Kazuar weiter und spätere 2020-Varianten sind Sunburst in mancher Hinsicht sogar noch ähnlicher“, stellte das Unternehmen in einer am Montag veröffentlichten Analyse fest. „Insgesamt haben die Experten in den Jahren der Entwicklung von Kazuar eine kontinuierliche Entwicklung beobachtet, bei der wesentliche Merkmale, die Ähnlichkeit mit Sunburst aufweisen, hinzugefügt wurden.“

Der Bericht fügte hinzu, dass, obwohl keiner dieser Algorithmen oder Implementierungen einzigartig ist, das Vorhandensein von drei deutlichen Überschneidungen die Aufmerksamkeit der Forscher erregte: „Eine Überschneidung wäre nicht so ungewöhnlich, zwei Überschneidungen würden definitiv eine Augenbraue hochziehen, während drei solche Überschneidungen für uns irgendwie verdächtig sind.“

Allerdings warnten die Forscher, dass die Code-Fragmente nicht völlig identisch sind - es gibt also mehrere mögliche Gründe für die Überschneidungen.

„Während diese Ähnlichkeiten zwischen Kazuar und Sunburst bemerkenswert sind, könnte es viele Gründe für ihre Existenz geben, einschließlich der Tatsache, dass Sunburst von der gleichen Gruppe wie Kazuar [Turla] entwickelt wurde, dass die Entwickler von Sunburst Kazuar als Inspiration nutzten, dass ein Kazuar-Entwickler zum Sunburst-Team wechselte oder dass beide Gruppen hinter Sunburst und Kazuar ihre Malware aus der gleichen Quelle bezogen haben“, so der Bericht.

Schlafender Algorithmus
Malware verwendet häufig eine Schlummerfunktion, bei der sie nach der Installation oder zwischen Aktivitäten für eine bestimmte Zeit in den Ruhezustand versetzt wird, um Sicherheitskontrollen zu umgehen und ihren Netzwerkverkehr unauffällig zu gestalten.

Sowohl Kazuar als auch Sunburst haben eine solche Verzögerung zwischen den Verbindungen zu ihren Command-and-Control-Servern (C2) implementiert, und zwar auf sehr ähnliche Weise.

„Kazuar berechnet die Zeit, die es zwischen zwei C2-Server-Verbindungen schläft, wie folgt: Es nimmt zwei Zeitstempel, die minimale Schlafzeit und die maximale Schlafzeit, und berechnet die Wartezeit mit [dieser] Formel: generated_sleeping_time = sleeping_timemin + x (sleeping_timemax - sleeping_timemin).“

In der Formel ist „x“ eine Zufallszahl im Bereich von 0 bis 1, die durch den Aufruf der NextDouble-Methode ermittelt wird, während „sleeping_timemin“ und „sleeping_timemax“ aus der C2-Konfiguration gewonnen werden. Sunburst verwendet genau dieselbe Formel zur Berechnung der Schlafzeit, nur mit einem weniger komplexen Code.

„Standardmäßig wählt Kazuar eine zufällige Schlafzeit zwischen zwei und vier Wochen, während Sunburst zwischen 12 und 14 Tagen wartet“, so die Analyse, die auch feststellte, dass solch lange Schlafzeiten in C2-Verbindungen für typische APT-Malware nicht sehr üblich sind. „Sunburst implementiert wie Kazuar einen Befehl, der es den Betreibern erlaubt, die Wartezeit zwischen zwei C2-Verbindungen zu ändern.“

Der FNV-1a-Hashing-Algorithmus
Sowohl Sunburst als auch Kazuar verwenden den FNV-1a-Hashing-Algorithmus in ihrem Code, so die Kaspersky-Forscher.

Ein modifizierter 32-Bit-FNV-1a-Hashing-Algorithmus wurde vom Kazuar-Shellcode seit 2015 verwendet, um APIs aufzulösen, so die Forscher, während eine modifizierte 64-Bit-Version von FNV-1a in Kazuar-Versionen implementiert wurde, die 2020 gefunden wurden. Letztere fügt einen zusätzlichen Schritt hinzu: Nachdem der Hash berechnet wurde, wird er mit einer hart kodierten Konstante XORiert. Diese Änderung ist auch in Sunbursts 64-Bit-FNV-1a-Hash-Algorithmus zu sehen, stellten die Forscher fest, obwohl die Konstante selbst zwischen Kazuar und Sunburst unterschiedlich ist.

„Dieser Hashing-Algorithmus ist nicht einzigartig für Kazuar und Sunburst“, so die Forscher. „Er bietet jedoch einen interessanten Ausgangspunkt, um weitere Gemeinsamkeiten zu finden.“

UID-Algorithmus
Um eindeutige Zeichenketten über verschiedene Opfer hinweg zu generieren, etwa Client-Identifikatoren, Mutexe oder Dateinamen, verwenden sowohl Kazuar als auch Sunburst einen Hash-Algorithmus, der sich von dem sonst weit verbreiteten FNV-1a-Hash unterscheidet: Eine Kombination aus MD5+XOR.

Kazuar verwendet laut Kaspersky einen Algorithmus, der eine Zeichenkette als Eingabe akzeptiert. Um eine eindeutige Zeichenkette abzuleiten, holt sich die Backdoor den MD5-Hash der Zeichenkette und verrechnet ihn dann mit einem vier Byte großen eindeutigen „Seed“ des Rechners. Der Seed wird durch Abrufen der Seriennummer des Datenträgers gewonnen, auf dem das Betriebssystem installiert ist.

„Ein MD5+XOR-Algorithmus ist auch in Sunburst zu finden“, erklären die Forscher. „Anstelle der Seriennummer des Datenträgers wird jedoch ein anderer Satz von Informationen als eindeutiger Seed des Rechners verwendet, der mit MD5 gehasht wird, und dann werden die beiden Hash-Hälften mit XOR verknüpft [zu einem Acht-Byte-Ergebnis].“

Dieser Informationssatz umfasst die MAC-Adresse des ersten Adapters, die Domäne des Computers und die GUID des Rechners.

Turla oder nicht Turla - die Jury ist draußen
Von dem ausgedehnten Spionageangriff von SolarWinds sind bisher bis zu 10 Bundesbehörden, Microsoft, FireEye und Dutzende andere betroffen.

Sunburst, auch bekannt als Solorigate, ist die Malware, die als Speerspitze der Kampagne verwendet wurde, bei der die Angreifer die Netzwerkmanagement-Plattform Orion von SolarWinds nutzen konnten, um Ziele zu infizieren. Die Malware wurde über trojanisierte Produkt-Updates an fast 18.000 Organisationen weltweit verteilt, beginnend vor neun Monaten. Mit dem eingebetteten Sunburst konnten die Angreifer seitdem auswählen, welche Organisationen sie weiter infizieren wollten.

Die weitere Ausnutzung durch die unbekannte APT-Gruppe (Advanced Persistent Threat), die von den Forschern als UNC2452 oder DarkHalo bezeichnet wird, beinhaltet laut Kaspersky die Installation weiterer Malware, die Installation von Persistenzmechanismen und die Exfiltration von Daten.

Handelt es sich bei dieser Bedrohungsgruppe tatsächlich um Turla? „Es handelt sich um eine komplexe Cyberangriffsplattform, die sich vor allem auf diplomatische und regierungsnahe Ziele konzentriert, insbesondere im Nahen Osten, in Zentral- und Fernostasien, Europa, Nord- und Südamerika sowie in den Ländern des ehemaligen Sowjetblocks“, so die Firma.

Die Gruppe ist auch für ihr maßgeschneidertes Spionage-Toolset bekannt, das sich in ständiger Entwicklung befindet. So fügte Kazuar im November neue Spionagefunktionen hinzu, darunter einen Keylogger und einen Passwort-Stealer, der Browserverlaufsdaten, Cookies, Proxy-Server-Anmeldeinformationen und vor allem Passwörter von Internetbrowsern, Filezilla, Outlook, Git und WinSCP abrufen kann. Er holt sich auch Anmeldeinformationen für Tresore.

Die Kaspersky-Forscher warnten, dass die Beweise für eine Zusammenarbeit zwar überzeugend sind, die scheinbaren Verbindungen zwischen Turla und Sunburst jedoch mit Vorsicht zu genießen sind. So besteht zum Beispiel die Möglichkeit, dass Kazuar-Falschmeldungen absichtlich in Sunburst eingeschleust wurden - eine Taktik, die bei dem Wischerangriff auf Olympic Destroyer bekannt wurde.

„Ein Beispiel von Kazuar wurde veröffentlicht, bevor Sunburst geschrieben wurde, und enthielt die modifizierte 64-Bit-Hash-Funktion, und blieb von allen außer den Sunburst-Entwicklern unbemerkt“, so die Forscher. „In diesem Fall müssen die Sunburst-Entwickler über neue Kazuar-Varianten informiert gewesen sein. Offensichtlich ist das Aufspüren aller Modifikationen von unbekanntem Code eine ziemlich schwierige und langwierige Aufgabe, [da] die Kazuar-Entwickler ständig ihren Code sowie die Packmethoden ändern, was es schwieriger macht, die Backdoor mit YARA-Regeln zu erkennen [und] Kazuar-Samples (insbesondere die neuen) ziemlich selten auf VirusTotal erscheinen.“

Abgesehen davon wurde das zusätzliche XOR nach dem Hash in den 2020er Kazuar-Varianten eingeführt, nachdem es in Sunburst aufgetaucht war, so die Forscher.

"Die identifizierte Verbindung verrät nicht, wer hinter dem SolarWinds-Angriff steckt, aber sie liefert weitere Erkenntnisse, die den Forschern helfen können, in dieser Untersuchung voranzukommen", sagte Costin Raiu, Direktor des Global Research and Analysis Teams von Kaspersky, in einer Medienmitteilung. "Nach den Erfahrungen der Vergangenheit zu urteilen, gab es zum Beispiel im Rückblick auf den WannaCry-Angriff in den ersten Tagen nur sehr wenige Fakten, die ihn mit der Lazarus-Gruppe in Verbindung brachten. Mit der Zeit tauchten mehr Beweise auf, die es uns und anderen ermöglichten, sie mit hoher Sicherheit miteinander zu verbinden. Weitere Forschung zu diesem Thema wird entscheidend sein, um die Punkte zu verbinden."

:wink: :metal: