SolarWinds: Zweite, unabhängige Backdoor-Malware für Orion-Plattform entdeckt

Im Zeitraum von März bis Juni 2020 schleuste eine bislang unidentifizierte kriminelle Hackergruppe die Malware "Sunburst" auf Systeme von bis zu 18.000 Nutzern der Netzwerkmanagement-Plattform SolarWinds Orion. Über eine Backdoor kommuniziert(e) Sunburst mit den Angreifern. Diese sollen unter anderem auch US-Regierungsbehörden im Visier haben sowie für einen kürzlich erfolgten Einbruch bei der Sicherheitssoftwarefirma FireEye verantwortlich sein.

Die durch den Vorfall angestoßenen Code-Analysen haben nun eine zweite Backdoor zutage gefördert, die Sicherheitsforscher als "Supernova" bezeichnen. Das wohl Interessanteste an dem Fund: Die Forscher sind sich weitgehend einig, dass hinter Supernova eine zweite, völlig unabhängig agierende Gruppe steckt. Wie bei Sunburst sehen sie auch hier Profis am Werk. Allerdings geht aus den bisher veröffentlichten Analysen nicht hervor, ob und inwieweit der Code überhaupt in freier Wildbahn zum Einsatz kam.

Über die Vorgänge rund um Sunburst hatte heise online bereits mehrfach berichtet:

• Cyberangriffe via SolarWinds-Software (Entwicklungen im Überblick)
• FireEye, Microsoft & GoDaddy bauen "Killswitch" für Sunburst-Malware
• Trump spielt Gefahr herunter und nimmt Russen in Schutz

Modifizierte legitime DLL für SolarWinds Orion

Unter anderem thematisiert Microsoft die neu entdeckte Backdoor im letzten Abschnitt eines Blogeintrags zum Sunburst-Schadcode (von Microsoft "Solorigate" genannt). Man habe festgestellt, dass diese sehr wahrscheinlich nichts mit der aktuellen Kompromittierung zu tun habe und von anderen Akteuren verwendet werde, heißt es dort.

Der Backdoor-Code verstecke sich in einer modifizierten Variante von App_Web_logoimagehandler.ashx.b6031896.dll, einer legitimen .NET-Programmbibliothek von SolarWinds. Diese dient, wie der Name andeutet, eigentlich dem Zweck, auf HTTP-GET-Requests anderer Orion-Software-Komponenten mit der Rückgabe von Bildern (bzw. Anwendungs-Logos) zu reagieren. Der Backdoor-Code erlaubt aber eine Zweckentfremdung dergestalt, dass Angreifer ein C#-Skript an verwundbare Server senden, es "on-the-fly" kompilieren und dann zur Ausführung bringen könnten. Dazu muss die modifzierte Variante der DLL laut Microsoft im Ordner inetpub\SolarWinds\bin\ einer bestehenden Orion-Installation liegen.

Warum eine solche DLL-Modifizierung dauerhaft unbemerkt bleiben könnte, erklärt die Firma Guidepoint Security in einer eigenen Supernova-Analyse: Die veränderte Variante fügt der bereits bestehenden (legitimen) Methode, die den GET-Request entgegen nimmt, einen Try-Catch-Block hinzu. Nur wenn dieser Code-Block vier ganz bestimmte, durch den Angreifer zu übergebene Parameter (clazz, method, args, codes) registriert, leitet er zu einer (neu hinzugefügten) schädlichen Methode DynamicRun() um, die den ebenfalls übermittelten Schadcode kompiliert und ausführt. Andernfalls werden die legitimen Funktionen der DLL ganz normal ausgeführt.

Microsofts Defender erkennt die kompromittierte DLL als Trojan:MSIL/Solorigate.G!dha. Weitere Details liefert unter anderem auch noch eine dritte Supernova-Analyse von Palo Alto Networks.

Gemeinsamkeiten, Unterschiede und viele offene Fragen

Die in einer VirusTotal-Analyse zur modifizierten DLL angegebene "Creation Time" verweist auf Ende März 2020 – eine Parallele zu den Angriffen mit Sunburst. Laut der Nachrichtenagentur Reuters ist allerdings unklar, ob Supernova im Gegensatz zu Sunburst überhaupt als Angriffswerkzeug etwa gegen SolarWinds-Kunden zum Einsatz kam. Auf einen großen Unterschied zwischen den Schädlingen weist auch Microsoft hin: Während für Sunburst eine gültige, von SolarWinds entwendete digitale Signatur verwendet wurde, scheinen die Drahtzieher hinter Supernova nicht im Besitz einer solchen gewesen zu sein – die DLL ist unsigniert.

Geht man davon aus, dass die Backdoor-Funde nicht miteinander in Zusammenhang stehen, ergibt sich daraus die wichtige Erkenntnis, dass offenbar mehr als nur eine Gruppe von Cybergangstern Software von SolarWinds als geeignetes Einfallstor zu lohnenden Angriffszielen betrachtet. In einem Statement gegenüber Reuters ging ein SolarWinds-Sprecher nicht direkt auf Supernova ein. Er sagte lediglich, dass man weiterhin zusammen mit Experten und Kunden daran arbeiten werde, Informationen auszutauschen und die Vorfälle besser zu verstehen.

(ovw)