Backdoor aangetroffen in SolarWinds Orion software updates

Er is een backdoor aangetroffen in SolarWinds Orion software updates. Naar alle waarschijnlijkheid betreft het hier volgens The Washington Post het werk van APT29, ook bekend als CozyBear, welke door de Russische staat worden gesponsord. Ze richten zich op de US Treasury, the Commerce Department’s National Telecommunications and Information Administration (NTIA) en andere overheidsorganisaties om het interne mailverkeer te monitoren.

Deze APT29 hacking groep wordt ook verdacht achter de breach van cybersecurity bedrijf FireEye te zitten om hun Red Team penetratietest tooling te stelen. Er zijn indicaties dat de cybercriminelen geknoeid hebben met software updates die zijn uitgebracht door het in Texas gebaseerde IT-infrastructuur provider SolarWinds eerder in 2020 om de systemen van overheidsorganisaties en FireEye binnen te dringen om een supply chain attack op te zetten.

SolarWinds netwerk en security producten worden gebruikt door meer dan 300.000 klanten wereldwijd, waaronder Fortune 500 bedrijven, overheidsorganisaties en onderwijsinstellingen.

Een campagne om de SUNBURST backdoor uit te rollen

FireEye is de op dit moment nog steeds gaande intrusion campagne in de gaten aan het houden onder “UNC2452,” en geeft aan dat de supply chain attack gebruik maakt van een trojaans gemaakte SolarWinds Orion software updates om de backdoor genaamd SUNBURST te verspreiden.

Volgens FireEye is de campagne al begonnen in de lente van 2020 en op dit moment nog steeds gaande. Activiteiten die worden uitgevoerd nadat een netwerk is gecompromitteerd, zijn onder andere laterale beweging en datadiefstal. Het betreft hier een zeer bekwame actor die de operatie uitvoert met significante operationele security.

Deze malafide versie van de SolarWinds Orion plug-in, is gezien dat deze het netwerkverkeer verbergt als het Orion Improvement Program (OIP) protocol. Daarnaast communiceert deze via HTTP naar servers op afstand voor het ophalen en uitvoeren van kwaadaardige commando’s die onder de spyware vallen. Deze worden onder andere gebruikt voor het verplaatsen van bestanden, uitvoeren van bestanden, het in kaart brengen en opnieuw opstarten van het doel systeem en het uitschakelen van de services van dit systeem.

Sterker nog de IP-adressen die worden gebruikt in de campagne werden verborgen door VPN servers die zich bevinden in hetzelfde land als het slachtoffer om detectie te vermijden.

Microsoft heeft ook bevindingen bijgedragen in een aparte analyse en noemt de aanval “Solorigate“. Deze aanval maakt misbruik van het vertrouwen dat er is in de SolarWinds software om hier kwaadaardige code in te plaatsen als onderdeel van een grote campagne. Er is een kwaadaardige software class toegevoegd aan veel legitieme classes en dan ondertekend met een legitiem certificaat. De ontstaande binary bevatte de backdoor en was daarna discreet verspreid binnen de doel organisaties.

Image

Bron: Microsoft

SolarWinds security advisory

In een security advisory van SolarWinds aan dat de versies 2019.4 t/m 2020.2.1 van het SolarWinds Orion Platform software die uitgebracht zijn tussen maart en juni 2020 worden misbruikt in de aanval. Alle gebruikers worden aangeraden om direct te upgraden naar 2020.2.1 HF 1 van het Orion Platform.

SolarWinds is op dit moment de aanval aan het onderzoeken samen met FireEye en het US Federal Bureau of Investigation (FBI). Op 15 december is er een extra hotfix uitgebracht genaamd 2020.2.1 HF 2, welke het gecompromitteerde component vervangt en verschillende extra security verbeteringen toevoegt.

De campagne lijkt uiteindelijk op een supply chain attack op een wereldwijde schaal, omdat FireEye aangeeft dat deze activiteiten zijn gedetecteerd bij verschillende entiteiten van overheidsorganisaties, consultants, technologie, telecom en winningsbedrijven in Noord-Amerika, Europa, Azië en het Midden-Oosten.

Indicators of compromise

De indicators of compromise (IoCs) en andere relevante aanval signatures, welke ontworpen zijn om SUNBURST tegen te gaan, kunnen gevonden worden op GitHub. Hier zijn gerelateerde Snort, Yara en ClamAV rules te vinden om te gebruiken in omgevingen om een aanval te detecteren, welke gratis worden aangeboden aan de community.

18.000 klanten

Volgens de Amerikaans beurswaakhond SEC hebben ongeveer 18.000 klanten van SolarWinds de officiële updates geïnstalleerd die de SUBURTST backdoor bevatten. De aanvallers hadden toegang gekregen tot het Orion ‘software build system’ om zo de backdoor aan de updates toe te voegen.

Van de eerder aangegeven 300.000 klanten van SolarWinds maken 33.000 gebruik van het Orion Platform, waarvan ongeveer18.000 de besmette updates hebben geïnstalleerd.

Microsoft en partners nemen domein over

Microsoft heeft samen met een groep van tech bedrijven het domein o dat een centrale rol speelde in de SolarWinds hack overgenomen en gesinkholed. Het gaat hier om het domein avsvmcloud[.]com, welke gebruikt werd als command and control (C&C) server om malware uit te rollen naar 18.000 SolarWinds klanten.

Wanneer de SUBURST malware is geïnstalleerd op een computer, dan wacht de malware 12 tot 14 dagen en dan stuurt het een ping naar een subdomein van avsvmcloud[.]com. Het C&C domein reageert daarna met een antwoord dat een CNAME veld bevat met informatie over een ander domein van waar de SUNBURST malware extra instructies en additionele payloads ontvangt om uit te voeren op een geïnfecteerd netwerk.

Op 15 december is het domein in handen gekomen van Microsoft en wordt omschreven als beschermend werk om ervoor te zorgen dat de actor achter de SolarWinds hack geen nieuwe orders kan sturen naar geïnfecteerde computers.

Het lijkt er in eerste instantie niet op dat de hackers misbruik hebben gemaakt van alle systemen en zich alleen heeft gericht op het binnendringen van netwerken van zeer bekende slachtoffers.

Dit lijkt ook bevestigd te worden door een rapport van securitybedrijf Symantec die de SUNBURST malware op interne netwerken van 1000 klanten heeft gezien, maar het heeft geen bewijs gezien van second-stage payloads of netwerk escalatie activiteiten. Dit wordt ook bevestigd door Reuters die aangeeft dat veel bedrijven die de trojaanse Orion app update ook deze activiteiten niet hebben gezien.

Het voorgenoemde domein leid naar een IP-adres dat van Microsoft is, hiermee krijgen Microsoft en zijn partners informatie van alle systemen waar de trojaanse SolarWinds app geïnstalleerd is. Met deze sinkholing techniek kan er een lijst opgesteld worden met alle slachtoffers die zo hierover geïnformeerd kunnen worden.

Microsoft Defender Antivirus

Vanaf 16 december om 8:00 AM PST zal Microsoft Defender Antivirus actief beginnen met het blokkeren van bekende SolarWinds binaries welke gerelateerd zijn aan de versies die de SUNBURST malware bevatten. De binary zal in quarantaine geplaatst worden, zelfs als het proces op dit moment draait. Microsoft geeft aan dat het dit doet, omdat het voordelen voor hun klanten oplevert. Zelfs als dit sommige crashes gaat veroorzaken van netwerk monitoring tools van systeembeheerders.

Deze binaries staan voor een significante dreigingen voor de bedrijfsnetwerken van de klanten. Ieder device dat deze binaries bevat, moet gezien worden als gecompromitteerd. Verder adviseert Microsoft om de apparaten te verwijderen van het netwerk en te onderzoeken.

Geen impact op andere producten

SolarWinds heeft een interne audit uitgevoerd op de code van alle software producten en heeft geen bewijs kunnen vinden dat andere versies van het Orion Platform of andere producten soortgelijke markers heeft als die gebruikt zijn in de aanval. Dit wordt aangegeven in een update van de security advisory.

Advies

Het advies aan iedereen die momenteel de versies 2019.4 t/m 2020.2.1 van het SolarWinds Orion Platform om zo spoedig mogelijk de versies 2020.2.1 HF 1 en 2020.2.1 HF 2 te installeren.

Daarnaast kunnen ook verschillende rules van Snort, Yara en ClamAV ingezet worden voor het detecteren van de aanval.

Het NCSC adviseert ook om beide updates zo spoedig mogelijk te installeren en de mitigerende maatregelen te evalueren en waar mogelijk te implementeren en te monitoren op verdacht verkeerd.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

 

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers
Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

12 − 11 =

Menu