SolarWinds-Hack – Neue Beweise deuten auf mögliche Verbindungen zu chinesischen Hackern hin

Cyber Security News

Eine bösartige Web-Shell, die auf Windows-Systemen unter Ausnutzung eines bisher nicht bekannt gegebenen Zero-Day in der Netzwerküberwachungssoftware Orion von SolarWinds eingesetzt wurde, ist möglicherweise das Werk einer chinesischen Bedrohungsgruppe.

In einem Bericht, der am Montag von Secureworks veröffentlicht wurde, schreibt das Cybersicherheitsunternehmen die Eindringlinge einem Bedrohungsakteur zu, den es Spiral nennt.

Bereits am 22. Dezember 2020 gab Microsoft bekannt, dass eine zweite Spionagegruppe die Orion-Software des IT-Infrastrukturanbieters missbraucht haben könnte, um eine persistente Backdoor namens Supernova auf Zielsystemen abzulegen.

Die Erkenntnisse wurden auch von den Cybersecurity-Firmen Palo Alto Networks’ Unit 42 Threat Intelligence Team und GuidePoint Security bestätigt, die beide Supernova als eine .NET-Web-Shell beschrieben, die durch Modifikation eines “app_web_logoimagehandler.ashx.b6031896.dll”-Moduls der SolarWinds Orion-Anwendung implementiert wurde.

Die Änderungen wurden nicht durch eine Verletzung der SolarWinds-App-Update-Infrastruktur ermöglicht, sondern durch Ausnutzung einer Authentifizierungsumgehungsschwachstelle in der Orion-API, die als CVE-2020-10148 verfolgt wird, was wiederum einem entfernten Angreifer die Ausführung nicht authentifizierter API-Befehle ermöglicht.

“Im Gegensatz zu Solorigate [aka Sunburst]hat diese bösartige DLL keine digitale Signatur, was darauf hindeutet, dass dies möglicherweise nicht mit der Kompromittierung der Lieferkette zusammenhängt”, hatte Microsoft festgestellt.

Während die Sunburst-Kampagne inzwischen offiziell mit Russland in Verbindung gebracht wird, blieb der Ursprung von Supernova bis jetzt ein Rätsel.

[Blocked Image: https://thehackernews.com/images/-R2lToImlQMk/YEc91_m7liI/AAAAAAAAB-4/sjTT54hyckMQN0emXZSdkMSotglcc0pTQCLcBGAsYHQ/s0/hacking.jpg]

Laut den Forschern der Counter Threat Unit (CTU) von Secureworks – die die Malware im November 2020 entdeckten, als sie auf einen Hack in einem ihrer Kundennetzwerke reagierten – lässt “die unmittelbare und gezielte Art der seitlichen Bewegung darauf schließen, dass Spiral das Netzwerk vorher kannte.”

Im Zuge der weiteren Untersuchung gab das Unternehmen an, Ähnlichkeiten zwischen dem Vorfall und einer früheren, im August 2020 aufgedeckten Einbruchsaktivität in dasselbe Netzwerk gefunden zu haben, die bereits 2018 durch Ausnutzung einer Schwachstelle in einem Produkt namens ManageEngine ServiceDesk erfolgt war.

“Die CTU-Forscher waren zunächst nicht in der Lage, die Aktivität im August irgendwelchen bekannten Bedrohungsgruppen zuzuordnen”, so die Forscher. “Die folgenden Ähnlichkeiten mit dem Spiral-Eindringling Ende 2020 legen jedoch nahe, dass die Bedrohungsgruppe Spiral für beide Eindringlinge verantwortlich war.”

Die Verbindung zu China ergibt sich aus der Tatsache, dass Angriffe auf ManageEngine-Server seit langem mit Bedrohungsgruppen in Verbindung gebracht werden, die in diesem Land ansässig sind, ganz zu schweigen von dem Modus Operandi der Ausnutzung der Langzeitpersistenz, um Anmeldeinformationen zu sammeln, sensible Daten zu exfiltrieren und geistiges Eigentum zu plündern.

Die Forscher erklärten, dass diese von einem Host stammte, der von den Angreifern verwendet wurde, um die Endpoint Detection and Response (EDR)-Software von Secureworks aus Gründen auszuführen, die dem Bedrohungsakteur bekannt sind.

“Die Bedrohungsgruppe hat wahrscheinlich das Installationsprogramm für den Endpunktagenten aus dem Netzwerk heruntergeladen und auf der vom Angreifer verwalteten Infrastruktur ausgeführt”, so die Forscher weiter. “Die Aufdeckung der IP-Adresse war wahrscheinlich unbeabsichtigt, so dass die Geolokalisierung die Hypothese unterstützt, dass die Bedrohungsgruppe Spiral von China aus operiert.”

Es ist erwähnenswert, dass SolarWinds Supernova in einem Update für die Orion-Plattform adressiert hat, das am 23. Dezember 2020 veröffentlicht wurde.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com