SolarWinds: FireEye, Microsoft & GoDaddy bauen "Killswitch" für Sunburst-Malware

Eine umfunktionierte Domain der SolarWinds-Orion-Angreifer kann bestehende Sunburst-Infektionen unter Umständen lahmlegen, die Gefahr aber nicht restlos bannen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge

(Bild: eggeegg/Shutterstock.com)

Von
  • Olivia von Westernhagen

Microsoft hat eine Domain übernommen die zuvor von den Drahtziehern hinter den "SolarWinds"-Vorfällen zur Kommunikation mit infizierten Systemen verwendet worden war, wurde Dienstag bekannt. Nun gibt es weitere Informationen: Die besagte Domain avsvmcloud[.]com wurde von Microsoft und FireEye in Kooperation mit dem verantwortlichen Registrar GoDaddy zu einem Killswitch umgebaut, der die Malware "Sunburst" auf den betreffenden Systemen ausschalten soll.

Unter bestimmten Voraussetzungen und in Abhängigkeit von der IP-Adresse, die bei der Adressauflösung an die Malware zurückgeliefert werde, könne der Killswitch dem "Sunburst"-Code den Befehl erteilen, sich abzuschalten und weiterer (wohl auch späterer) Ausführung vorzubeugen, heißt es in einem FireEye-Statement, das IT-Sicherheits-Blogger Brian Krebs veröffentlichte.

Sunburst war im Zeitraum von März bis Juni 2020 über verseuchte Updates für die Netzwerkmanagement-Software Plattform SolarWinds Orion auf Systeme von bis zu 18.000 SolarWinds-Kunden geschleust worden – darunter mehrere US-Ministerien und Behörden. Dort hatte der Schädling eine Backdoor installiert und so die Fernsteuerbarkeit infizierter Systeme in die Wege geleitet.

Hinter den Angriffen soll dieselbe noch unidentifizierte Gruppe stecken, die zuvor auch erfolgreich die Firma FireEye attackiert hatte. Über die Vorfälle hat heise online mehrfach ausführlich und zuletzt am gestrigen Mittwoch berichtet:

Lesen Sie auch

Aus FireEyes Statement in Brian Krebs' Blogeintrag geht klar hervor, dass die Gefahr noch nicht gebannt ist: Der Killswitch funktioniere bei früheren und aktuellen Sunburst-Varianten, die mit avsvmcloud[.]com kommunizieren und erschwere es den Malware-Machern, jene Varianten weiterhin zu ihrem Vorteil zu nutzen.

Das allerdings mache bereits kompromittierte Netzwerke nicht zwangsläufig für sie unzugänglich: FireEye habe beobachtet, dass die Gruppe schnell zu anderen Strategien übergegangen sei, um sich dauerhaften Backdoor-Zugriff zu sichern.

(ovw)