FBI greift auf private Firewalls zu – erneut

Zum zweiten Mal innerhalb eines Jahres hat das FBI seine Durchsuchungs- und Beschlagnahmungsrechte durchgesetzt und Geräte privater Unternehmen und Nutzer ohne deren ausdrückliche Zustimmung von Malware befreit. Die Behörde zerstörte auf diese Weise ein Botnet, das vermutlich von russischen Hackern mit Verbindungen zur Regierung geschaffen wurde.

Konkret zielte die Operation auf die Beseitigung der Schadsoftware Cyclops Blink ab, die Anfang des Jahres entdeckt wurde und einer Gruppe zugeschrieben wird, die in der IT-Sicherheitsszene als Sandworm bekannt ist. Die Geheimdienste der USA und Großbritannien nehmen an, dass es sich dabei um eine Einheit innerhalb der Hauptnachrichtendienstes im Generalstab der Streitkräfte der Russischen Föderation (GRU) handelt.

Lesetipp: USA zerschlagen Putins Malware-Angriff

Was ist Cyclops Blink?

Cyclops Blink ist ein modulares Malware-Programm, das darauf ausgelegt ist, Netzwerk-Hardware wie Router und Firewalls zu infizieren und zu kontrollieren. Das britische National Cyber Security Centre (NCSC) hatte im Februar 2022 in Zusammenarbeit mit der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) einen Hinweis veröffentlicht, in dem die Firewalls der Reihe Firebox vom amerikanischen Hersteller WatchGuard als eines der Ziele der Malware genannt werden. Danach wurden auch Router von ASUS als Ziele des Botnets bestätigt.

Vermutlich ist Cyclops Blink ein Nachfolger von VPNFilter, einer anderen Malware, die mehr als 50.000 Router von Privatanwendern und kleinen Unternehmen infiziert hatte. Damals waren Geräte vieler verschiedener Hersteller betroffen, darunter Linksys, MikroTik, Netgear, QNAP und TP-Link.

Das FBI löste das VPNFilter-Botnet auf, nachdem die Behörde die Domäne außer Gefecht setzten, die die Angreifer zur Steuerung des Netzes verwendet und von der aus Befehle zum Neustart der Geräte ausgegangen waren. Diese Maßnahme hatte die Schadsoftware aber nicht von den Geräten entfernt. Nach Untersuchungen des Sicherheitsunternehmens Trend Micro ging im Januar 2021 immer noch von einem Drittel der mit VPNFilter infizierten Geräte eine Gefährdung aus.

Darum ist Cyclops Blink so gefährlich

VPNFilter verfügte über Module, die das Überwachen und Manipulieren des Datenverkehrs ermöglichten und Angriffe auf nachgeschaltete Geräte zuließen. Ein Modul ermöglichte beispielsweise die Überwachung von Modbus-SCADA-Protokollen, die in industriellen Steuerungsumgebungen verwendet werden.

Da die Sandworm-Gang mit VPNFilter aufgeflogen war, zog sie es vor, sich neu auszurüsten und Cyclops Blink zu entwickeln, das vermutlich seit mindestens Juni 2019 in Betrieb ist. Wie der Vorgänger kann Cyclops Blink zusätzliche Module herunterladen und ausführen, die seine Funktionalität erweitern. Doch Cyclops Blink ist hartnäckiger, weil es als Teil eines Firmware Updates bereitgestellt wird und sein Command-and-Control-Mechanismus (C2) komplexer ist.

Darüber hinaus erhält jedes mit Cyclops Blink infizierte Gerät eine fest kodierte Liste von C2-Servern. Diese Server haben eine Relaisfunktion und sind alle mit einer zentralen Befehlszentrale verbunden, die von den Angreifern genutzt und im Tor-Netzwerk (ein Overlay-Netzwerk zum Anonymisieren von Verbindungsdaten) gehostet wird.

Wie hat das FBI Cyclops Blink zerschlagen?

Den FBI-Agenten gelang es, mit Zustimmung des Eigentümers ein Firmware-Image von einem der kompromittierten WatchGuard-Geräte wiederherzustellen, das sie zur Untersuchung der Malware verwendeten. Sie überwachten auch den Datenverkehr des infizierten Geräts, wodurch sie einen der C2-Relay-Server in den USA identifizieren konnten.

Die Agenten verschafften sich dann Zugang zu diesem Server und analysierten seine Funktionsweise. Dies lieferte ihnen die Information, dass jeder C2-Server ein digitales Zertifikat mit bestimmten Merkmalen verwendete, das von den Angreifern eingesetzt wurde. Durch Scannen des Internets nach diesen Merkmalen gelang es der Behörde, 38 Cyclops-Blink-C2-Server zu identifizieren, von denen 22 in den USA stehen.

Außerdem entwickelte das FBI eine Technik, mit der sie sich gegenüber den Servern als das vom Tor-Netzwerk gehostete Kontrollpanel des Angreifers ausgeben konnte. So konnte die Behörde Befehle erteilen, die an die von diesen Servern bedienten Bots weitergeleitet wurden. Gemeinsam mit WatchGuard und einigen Strafverfolgungspartnern arbeitet das FBI an einer Strategie, Befehle an die infizierten Geräte zu senden, um diese von dem Schadprogramm zu reinigen.

Laut einer nicht versiegelten eidesstattlichen Erklärung verfolgt das FBI mit diesen Befehlen folgende Ziele:

• Bestätigung des Vorhandensein der Malware-Binärdatei, bekannt als CPD, auf dem Gerät,

• Protokollierung der Seriennummer des infizierten Geräts,

• Abrufen einer Kopie der Malware und ihrer Liste der fest kodierten C2-Server und

• Entfernen der CPD-Malware vom Gerät und Hinzufügen von Firewall-Regeln, die den Fernzugriff auf die Verwaltungsschnittstelle blockieren sollen.

Der letzte Schritt ist wichtig, da die Sandworm-Angreifer eine Schwachstelle zur Authentifizierungsumgehung (CVE-2022-23176) in den Geräten ausnutzten, um auf deren Verwaltungsschnittstellen zuzugreifen, wenn diese für das Remote Management aus dem Internet konfiguriert waren. Durch Hinzufügen von Firewall-Regeln, die diesen Zugriff blockieren, verhinderte das FBI, dass die Sandworm-Angreifer die Geräte erneut kompromittieren konnten. Die Behörde wies jedoch darauf hin, dass diese Firewall-Regeln nicht dauerhaft seien und die Besitzer ihre Geräte einfach neu starten können, um die vorherige Konfiguration wiederherzustellen.

In der eidesstattlichen Erklärung, die zur Unterstützung des Antrags der Behörde auf einen Durchsuchungs- und Beschlagnahmebeschluss zur Genehmigung der Operation eingereicht wurde, weisen die FBI-Agenten darauf hin, dass keiner der Befehle es der Behörde ermöglicht habe, die Inhalte oder Daten des Gerätebesitzers einzusehen oder abzurufen. Auch sei die Technik im Vorfeld getestet worden, um sicherzustellen, dass sie die Funktionalität des Geräts nicht beeinträchtigt.

Darf das FBI auf private Geräte zugreifen?

Das FBI erhielt Durchsuchungsbefehle vom Western District Court in Pennsylvania und Eastern District Court in Kalifornien, um die Befehle von mindestens zwei C2-Servern auszuführen. Es ist zwar nicht das erste Mal, dass Strafverfolgungsbehörden, darunter auch das FBI, Durchsuchungsbefehle verwenden, um über beschlagnahmte C2-Server Befehle an Botnetze zu erteilen, doch ist die Extraktion von Beweismaterial aus diesen Geräten, zum Beispiel einer Kopie der Malware, ohne die Zustimmung des Besitzers relativ neu.

Ein ähnlicher Ansatz wurde im April vergangenen Jahres angewandt, um Web-Shells zu kopieren und anschließend zu entfernen, die von einer chinesischen Cyberspionage-Gruppe namens Hafnium auf Microsoft-Exchange-Servern eingesetzt wurden. Die Server waren durch Zero-Day-Schwachstellen kompromittiert worden waren. Die Operation warf Fragen zum Datenschutz und zur Transparenz auf.

Die "Federal Rule of Criminal Procedure" verlangt von den Beamten, dass sie "angemessene Anstrengungen unternehmen, um der Person, deren Eigentum durchsucht wird, eine Kopie des Durchsuchungsbeschlusses und der Empfangsbestätigung zuzustellen", wenn es um den Fernzugriff auf elektronische Speicher und die Beschlagnahme elektronisch gespeicherter Informationen geht.

Eine solche Benachrichtigung kann jedoch mit allen Mitteln - auch elektronischen - erfolgen, die eine "vernünftig kalkulierte" Chance haben, die betreffende Person zu erreichen. Um diese Anforderung zu erfüllen, schickte das FBI E-Mails mit einer Kopie der Durchsuchungsbefehle an die mit den Domänennamen verknüpften E-Mail-Adressen. Wenn die Domänen einen Datenschutzdienst nutzten, der die zugehörige E-Mail-Adresse verbarg, setzte sich das FBI mit den Domänenregistrierstellen und Internetdienstanbietern der IP-Besitzer in Verbindung und bat sie, ihre Kunden zu informieren.

Maßnahmen für WatchGuard-Kunden

WatchGuard selbst veröffentlichte Informationen für Kunden über die potenziellen Auswirkungen von Cyclops Blink:

• Etwa ein Prozent der aktiven WatchGuard-Firewalls könnten von Cyclops Blink infiziert sein. Andere Produkte des Herstellers seien davon nicht betroffen.

• Gefährdet seien nur Appliances, bei deren Einsatz ein uneingeschränkter Management-Zugriff aus dem Internet (Unrestricted Management Access) per Konfiguration erlaubt wurde. Da nach Angaben des Herstellers im Auslieferungszustand alle Firewall-Appliances von WatchGuard mit eingeschränktem Verwaltungszugriff (Restricted Management Access) vorkonfiguriert sind, sind diese Geräte davon nicht betroffen.

• Es gibt laut WatchGuard keine Hinweise auf einen Datenabfluss beim Hersteller selbst oder bei seinen Kunden.

• Das eigene Netzwerk sei nicht beeinträchtigt oder infiltriert.

• Da die Firewall-Appliances von WatchGuard vorrangig von Geschäftskunden genutzt würden, bestehe kein Grund zu der Annahme, dass Endkunden durch die Aktivitäten von Cyclops Blink beeinträchtigt würden.

Als Reaktion auf die Vorfälle stellt WatchGuard eine Reihe von Tools zur Erkennung und Beseitigung bereit. Der Hersteller empfiehlt allen Kunden, deren Appliances tatsächlich infiziert sind, die Maßnahmen zu ergreifen, die im sogenannten "Cyclops Blink Diagnosis and Remediation Plan" beschrieben sind. Die dort genannten Schritte zur Vorbeugung gelten jedoch für alle Kunden.

Wer ist Sandworm?

Die Sandworm-Gruppe gilt als das fähigste Hacking-Team der russischen Regierung. 2015 war die Gruppe mit der Malware Black Energy und 2016 mit Industroyer für Angriffe auf die Energieinfrastruktur der Ukraine verantwortlich. Sie war auch für den zerstörerischen Pseudo-Ransomware-Angriff NotPetya im Jahr 2017 und die Attacken auf die IT-Infrastruktur der Olympischen Winterspiele im Jahr 2018 verantwortlich. Die Angriffe auf staatliche und private Websites in Georgien im Jahr 2019 werden von den amerikanischen und britischen Geheimdiensten ebenfalls Sandworm zugeschrieben.

Die Gruppe, die auch als Voodoo Bear oder GRU-Einheit 74455 bekannt ist, ist vermutlich eine von mehreren Units innerhalb der GRU, die sich mit Cyberoperationen befassen. Eine weitere Einheit ist APT28, die in der Sicherheitsbranche auch als Fancy Bear bekannt ist. Sandworm ist seit mindestens 2009 aktiv und operiert von der GRU-Militäreinheit 74455, dem Hauptzentrum für Spezialtechnologien (GTsST), aus und ist in der Regel mit zerstörerischen Sabotageangriffen beschäftigt. Während APT28 oder die GRU-Militäreinheit 26165, das 85. Hauptspezialdienstzentrum (GTsSS), in der Regel Cyberspionage- und Desinformationskampagnen durchführen.

Im Oktober 2020 erhob das Justizministerium Anklage gegen sechs GRU-Offiziere wegen ihrer Rolle bei Cyberangriffen, die Sandworm zugeschrieben werden. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.