{"id":241484,"date":"2021-01-12T00:11:00","date_gmt":"2021-01-11T23:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241484"},"modified":"2023-08-27T10:43:49","modified_gmt":"2023-08-27T08:43:49","slug":"kaspersky-solarwinds-sunburst-backdoor-gleicht-russischer-atp-malware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/12\/kaspersky-solarwinds-sunburst-backdoor-gleicht-russischer-atp-malware\/","title":{"rendered":"Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware"},"content":{"rendered":"

[English<\/a>]Eine Code-Analyse der SolarWinds Sunburst-Backdoor durch Sicherheitsforscher von Kaspersky n\u00e4hrt den Verdacht, dass die Urheber in Russland zu suchen sind. Der Code \u00e4hnelt in einigen Teilen Malware, die russischen ATP-Gruppen zugeschrieben wird.<\/p>\n

<\/p>\n

\"\"\u00dcber die Sunburst-Backdoor in der Orion-Software des US-Software-Anbieters SolarWinds ist es Hackern gelungen, weltweit 18.000 Rechner zu infizieren. Aktuell ist bekannt, dass um die 200 Ziele in den US aktiv \u00fcber diese Backdoor angegriffen wurden. Ich hatte umfassend in den am Artikelende verlinkten Blog-Beitr\u00e4gen berichtet.<\/p>\n

Verdacht f\u00e4llt auf russische Staatshacker<\/h2>\n

Bei der SolarWinds Sunburst-Backdoor gab es ja relativ schnell Verd\u00e4chtigungen in Richtung einer Urheberschaft staatlich gest\u00fctzter russischer Hacker, da der Angriff recht ausgefeilt war und die Eindringlinge \u00fcber Monate unbemerkt US-Beh\u00f6rden und -Firmen ausforschen konnten. Im Blog-Beitrag Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a> hatte ich eine eine gemeinsame Erkl\u00e4rung<\/a> von FBI, CISA, ODNI und NSA (siehe auch<\/a>) erw\u00e4hnt, die Russland f\u00fcr den Angriff verantwortlich machen.<\/p>\n

Jetzt sind weitere Informationen aufgetaucht, die zumindest Fragen in dieser Richtung aufwerfen. Der russische Sicherheitsanbieter Kaspersky hat gerade seine Analyse der SolarWinds Sunburst-Backdoor mit interessanten Erkenntnissen auf securelist.com ver\u00f6ffentlicht<\/a>. Ich bin vor einigen Stunden auf Twitter<\/a> auf diese Analyse gesto\u00dfen.<\/p>\n

\"SolarWinds<\/a><\/p>\n

W\u00e4hrend die Sicherheitsanalysten der Firma FireEye, die den Cyber-Angriff erstmalig aufdeckten, in ihrer Analyse<\/a> zwar die Details des Angriffs offenlegten, aber dem Angreifer den vorl\u00e4ufigen Namen \"UNC2452\" gaben, hat Kaspersky interessante Details herausgefunden. Die Sicherheitsforscher schreiben, dass dieser Angriff in vielerlei Hinsicht bemerkenswert sei, u. a. wegen seiner Heimlichkeit, seiner Zielgenauigkeit und der von den Angreifern verwendeten ma\u00dfgeschneiderten Sunburst-Malware.<\/p>\n

\u00c4hnlichkeiten im Code mit Kazur-Backdoor<\/h2>\n

Bei der Untersuchung der Sunburst-Backdoor entdeckten die Sicherheitsforscher mehrere Merkmale, die sich mit einer zuvor identifizierten Backdoor namens Kazuar \u00fcberschneiden. Kazuar ist eine .NET-Backdoor, die erstmals von Palo Alto im Jahr 2017 beschrieben wurde<\/a>. Palo Alto brachte Kazuar mit der APT-Gruppe Turla in Verbindung, obwohl \u00f6ffentlich keine eindeutige Zuordnung bekannt gegeben wurde. Die eigenen Beobachtungen von Kaspersky best\u00e4tigen die Erkenntnis, dass die Kazuar-Backdoor zusammen mit anderen Turla-Tools bei mehreren Cyber-Angriffen in den vergangenen Jahren verwendet wurde.<\/p>\n

Turla (auch bekannt als VENOMOUS BEAR und Waterbug) koordinierte bereits 1996 Cyber-Angriffe, bei denen Informationen abgezogen und Spionage betrieben wurde. Die russische Turla-Gruppe ist der Hauptverd\u00e4chtige hinter Angriffen auf das Pentagon und die NASA, das U.S. Central Command und das finnische Au\u00dfenministerium, wie Bleeping Computer hier schreibt<\/a>.<\/p><\/blockquote>\n

Zu den ungew\u00f6hnlichen, gemeinsamen Merkmalen von Sunburst und Kazuar geh\u00f6ren der Algorithmus zur Generierung der f\u00fcr die Opfer verwendeten UIDs. Aber auch der verwendete Algorithmus zur Berechnung des Zeitraums, in dem die Malware nach der Infektion des Opfersystems inaktiv bleibt, und die umfangreiche Verwendung des FNV-1a-Hashes weisen starke \u00dcbereinstimmungen mit den Kazuar-Implementierungen auf. Kaspersky schreibt, dass der Code nicht identisch sei, aber sehr starke \u00c4hnlichkeiten aufweise.<\/p>\n

Starke Indizien f\u00fcr gemeinsame Wurzeln<\/h2>\n

Das ist zumindest ein starkes Indiz, dass die Entwicklung der Sunburst-Backdoor von der gleichen Gruppe erfolgt sein k\u00f6nnte, die auch die Kazuar-Backdoor implementiert hat. Nat\u00fcrlich w\u00e4re es auch m\u00f6glich, dass sich die Entwickler der Sunburst-Backdoor von der Turla-Gruppe inspirieren lie\u00dfen oder Entwickler zwischen den Teams wechselten. Eine weitere Erkl\u00e4rung ist auch, dass bewusst eine falsche Spur gelegt wurde. Die Kaspersky-Forscher weisen jedoch darauf hin, dass gleich drei sehr starke \u00dcbereinstimmungen in den verwendeten Techniken sehr verd\u00e4chtig sei.<\/p>\n

Kaspersky legt zwar keinen harten Beweis bez\u00fcglich der Urheberschaft vor. Die Kazuar-Entwickler\u00a0 haben seit dem ersten Einsatz der Malware im Jahr 2017 kontinuierlich an den Funktionen gefeilt und die Codebasis der Malware \u00fcberarbeitet. Kazuar-Samples werden nur sehr selten auf Malware-Analyseplattformen wie VirusTotal hochgeladen. Dies macht es extrem schwierig bis unm\u00f6glich, \u00c4nderungen zwischen den verschiedenen Malware-Varianten zu verfolgen.<\/p>\n

Trotzdem stellte Kaspersky nun fest, dass die Entwickler von Sunburst und Kazuar mit hoher Wahrscheinlichkeit \u00fcber Funktions\u00e4nderungen in der jeweils anderen Malware Bescheid wussten. Das weist auf eine Verbindung zwischen den beiden Entwicklergruppen hin. Die Sicherheitsforscher hoffen, dass in Kooperation mit anderen Forschern diese \u00c4hnlichkeiten untersucht und mehr Fakten \u00fcber Kazuar sowie den Ursprung von Sunburst herausgefunden werden kann. Beim WannaCry-Angriff gab es in den ersten Tagen nur sehr wenige Fakten, die diesen mit der Lazarus-Gruppe aus Nord-Korea in Verbindung brachte. Mit der Zeit tauchten mehr Beweise auf, diese Vermutungen best\u00e4tigen. Die Hoffnung der Kaspersky-Forscher ist es, dass durch Analysen anderer Sicherheitsforscher weiteres Lichts ins Dunkel gebracht und die losen Enden verkn\u00fcpft werden k\u00f6nnen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
\nGibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
\nNeues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine Code-Analyse der SolarWinds Sunburst-Backdoor durch Sicherheitsforscher von Kaspersky n\u00e4hrt den Verdacht, dass die Urheber in Russland zu suchen sind. Der Code \u00e4hnelt in einigen Teilen Malware, die russischen ATP-Gruppen zugeschrieben wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-241484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=241484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=241484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=241484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=241484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}