{"id":238894,"date":"2020-12-14T07:46:48","date_gmt":"2020-12-14T06:46:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238894"},"modified":"2023-05-02T12:51:21","modified_gmt":"2023-05-02T10:51:21","slug":"solarwinds-produkte-mit-sunburst-backdoor-ursache-fr-fireeye-und-us-behrden-hacks","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/14\/solarwinds-produkte-mit-sunburst-backdoor-ursache-fr-fireeye-und-us-behrden-hacks\/","title":{"rendered":"SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks"},"content":{"rendered":"

[English<\/a>]Mutma\u00dflich staatlichen Hackern ist es gelungen, die weltweit breit eingesetzten Netzwerk- und Sicherheitsprodukte von SolarWinds zu manipulieren. Durch eine Supply-Chain-Attacke wurde ein Trojaner bzw. die SunBurst-Backdoor mit einem Software-Update ausgerollt.<\/p>\n

<\/p>\n

\"\"Aktuell kann man es mit einem Satz zusammen fassen: Die H\u00fctte ist am Brennen. Die SunBurst-Backdoor erm\u00f6glichte den Hack bei FireEye, bei dem deren Red Team-Tools erbeutet wurden. Ich hatte im Blog-Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> \u00fcber den Angriff berichtet. Die Nacht habe ich vom Hack des US-Finanzministeriums und einer weiteren Beh\u00f6rde des US-Handelsministeriums berichtet (siehe US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>). Jetzt kristallisiert sich heraus, dass die Angriffe vermutlich ebenfalls \u00fcber eine Backdoor in SolarWinds-Produkten<\/a> erfolgen.<\/p>\n

SolarWinds-Produkte mit SunBurst-Backdoor<\/h2>\n

Es gibt Hinweise daf\u00fcr, dass Angreifer ein Software-Update des texanischen IT-Infrastrukturanbieters SolarWinds Anfang 2020 durch einen Supply-Chain-Angriff (Angriff auf die Lieferkette) manipuliert haben, um in die Systeme von Regierungsbeh\u00f6rden sowie von FireEye einzudringen.<\/p>\n

Die Netzwerk- und Sicherheitsprodukte von SolarWinds<\/a> werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbeh\u00f6rden und Bildungseinrichtungen.<\/p>\n

SolarWinds beliefert au\u00dferdem die gro\u00dfen US-Telekommunikationsunternehmen, alle f\u00fcnf Zweige des US-Milit\u00e4rs und andere prominente Regierungsorganisationen wie das Pentagon, das Au\u00dfenministerium, die NASA, die Nationale Sicherheitsbeh\u00f6rde (NSA), die Post, die NOAA, das Justizministerium und das B\u00fcro des Pr\u00e4sidenten der Vereinigten Staaten.<\/p>\n

Nur mal angemerkt: Ist jetzt sehr spannend, die Diskussion um Huawei zu verfolgen.<\/p><\/blockquote>\n

CISA-Warnung vor SolarWinds-Produkten<\/h3>\n

Die Cybersecurity and Infrastructure Security Agency (CISA) hat Sonntag-Abend<\/a> (13.12.2020) die Notfallrichtlinie 21-01 herausgegeben<\/a>. Dies erfolgte als Reaktion auf eine bekannte Kompromittierung von SolarWinds Orion-Produkten (betroffen sind die Versionen 2019.4 bis 2020.2.1 HF1), die derzeit von staatlichen Hackern ausgenutzt wird. Die Existenz folgender Dateien (unter Windows) deutet auf einen Kompromittierung hin:<\/p>\n

a. [SolarWinds.Orion.Core.BusinessLayer.dll] mit einem Datei-Hash von [b91ce2fa41029f6955bff20079468448].<\/p>\n

b. [C:\\WINDOWS\\SysWOW64\\netsetupsvc.dll]<\/p>\n

Die Kompromittierung erm\u00f6glicht es einem Angreifer, Zugriff auf Netzwerkverkehrsmanagementsysteme zu erhalten. Die CISA-Notfalldirektive fordert alle zivilen Bundesbeh\u00f6rden in den USA auf, ihre Netzwerke auf Anzeichen einer Kompromittierung zu \u00fcberpr\u00fcfen und die SolarWinds Orion-Produkte sofort vom Netz zu trennen oder abzuschalten.<\/p>\n

FireEye und die UNC2452-Kampagne<\/h3>\n

Der gehackte Sicherheitsanbieter FireEye berichtet in diesem Artikel<\/a> von einer weit verbreiteten, UNC2452 genannten, Kampagne, die von staatlichen Hackern gef\u00fchrt wird. In diesem Rahmen wurde von FireEye ein Supply-Chain-Angriff auf die SolarWinds Orion Business Software entdeckt. Anfang des Jahres wurden wohl trojanisierte Updates auf die Systeme mit dieser Software ausgeliefert. \u00dcber diese Updates ist es Hackern m\u00f6glich, Malware, die FireEye SUNBURST nennt, zu verteilen. Die Angreifer verwenden nach einer Kompromittierung der Ger\u00e4te mehrere Techniken, um sich der Erkennung zu entziehen und ihre Aktivit\u00e4ten zu verschleiern. Die Kampagne ist weit verbreitet und betrifft \u00f6ffentliche und private Organisationen auf der ganzen Welt.<\/p>\n

Die SUNBURST Backdoor<\/h3>\n

In der CISA-Warnung vor SolarWinds-Produkten ist bereits die Datei SolarWinds.Orion.Core.BusinessLayer.dll<\/em> erw\u00e4hnt. SolarWinds.Orion.Core.BusinessLayer.dll<\/em> ist eine von SolarWinds digital signierte Komponente des Orion Software Framework. Kompromittierte Versionen enthalten eine Hintert\u00fcr, die \u00fcber HTTP mit Servern von Drittanbietern kommuniziert.<\/p>\n

\"\"
\nSolarWinds digital signature on software with backdoor, Quelle: FireEye<\/p>\n

Nach einer anf\u00e4nglichen Ruhephase von bis zu zwei Wochen ruft sie Befehle, sogenannte \"Jobs\", ab und f\u00fchrt sie aus, die unter anderem die M\u00f6glichkeit bieten, Dateien zu \u00fcbertragen, Dateien auszuf\u00fchren, Profile des System zu erstellen, den Rechner neu zu starten und Systemdienste zu deaktivieren. Die Malware tarnt ihren Netzwerkverkehr als das Orion Improvement Program (OIP)-Protokoll und speichert Aufkl\u00e4rungsergebnisse innerhalb legitimer Plugin-Konfigurationsdateien. Dadurch kann sie sich unter die legitimen SolarWinds-Aktivit\u00e4ten mischen, um einer Entdeckung zu entgehen.<\/p>\n

Die Backdoor verwendet mehrere verschleierte Blocklisten, um forensische und Antiviren-Tools zu identifizieren, die als Prozesse, Dienste und Treiber laufen. Details zum Aufsp\u00fcren der Malware sowie eine tiefergehende Analyse sind dem FireEye-Artikel<\/a> zu entnehmen.<\/p>\n

Erg\u00e4nzung:<\/strong> Von Microsoft gibt es das Dokument Customer Guidance on Recent Nation-State Cyber Attacks<\/a> mit weiteren Details.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mutma\u00dflich staatlichen Hackern ist es gelungen, die weltweit breit eingesetzten Netzwerk- und Sicherheitsprodukte von SolarWinds zu manipulieren. Durch eine Supply-Chain-Attacke wurde ein Trojaner bzw. die SunBurst-Backdoor mit einem Software-Update ausgerollt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238894","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238894","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238894"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238894\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238894"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238894"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238894"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}