Accellions FTA Appliance Compromise, DEWMODE und seine Auswirkungen auf die Lieferkette verstehen

Accellions FTA Appliance Compromise, DEWMODE und seine Auswirkungen auf die Lieferkette verstehen

insikt-logo-blog.png

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Dieser Bericht bietet einen umfassenden Überblick über die Kompromittierung der Accellion File Transfer Appliance sowie eine Analyse der DEWMODE-Webshell, die bei den daraus resultierenden Sicherheitsverletzungen verwendet wurde. Zur Durchführung dieser Untersuchung nutzte die Insikt Group Open-Source-Forschung (OSINT), PolySwarm, Malware-Analyse und die Recorded Future ® Plattform. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsfachleute, die täglich mit der Sicherheit arbeiten, sowie Entscheidungsträger auf Führungsebene, die sich über Angriffe auf Systeme und Software Dritter Sorgen machen.

Executive Summary

Der Angriff auf den File-Sharing-Dienst Accellion File Transfer Appliance (FTA), der sich auf fast 100 Kunden des Unternehmens auswirkte, wurde hauptsächlich durch vier Zero-Day-Schwachstellen im Tool ermöglicht, die es Bedrohungsakteuren erlaubten, die DEWMODE-Web-Shell auf den Servern der Opfer zu platzieren und Dateien von diesen Servern zu exfiltrieren. Bis zum 25. Februar 2021 waren 13 Organisationen in verschiedenen Sektoren (Finanzen, Regierung, Recht, Bildung, Telekommunikation, Gesundheitswesen, Einzelhandel und Fertigung) und mehreren Ländern (Australien, Neuseeland, Singapur, Großbritannien und die USA) infolge der Accellion-FTA-Kompromittierung von Datenschutzverletzungen betroffen. Auf der Website CL0P LEAKS sind Daten der Opfer aufgetaucht, die eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellen. In naher Zukunft werden voraussichtlich noch weitere Opfer gemeldet und wir vermuten, dass diese Opfer nicht nur in den Branchen und Ländern, sondern auch in anderen Ländern vorkommen werden. Kunden, die Accellion FTA in ihrer Umgebung verwenden, wird empfohlen, die Software auf Version FTA_9_12_416 oder höher zu aktualisieren und die empfohlenen Abwehrmaßnahmen der Insikt Group zu nutzen, um nach entsprechendem bösartigem Verhalten auf diesen Servern zu suchen.

Hintergrund

Am 10. Januar 2021 meldete die Reserve Bank of New Zealand einen Datenverstoß aufgrund der Kompromittierung eines Filesharing-Dienstes eines Drittanbieters, der kurz darauf als Accellion identifiziert wurde. Einen Tag später veröffentlichte die Bank eine Erklärung zu dem Datenleck, in der sie erklärte, dass durch das Datenleck möglicherweise geschäftlich und persönlich sensible Informationen offengelegt worden seien. Der Gouverneur der Reserve Bank, Adrian Orr, sagte, Accellion habe ihm mitgeteilt, dass die Reserve Bank nicht speziell ins Visier genommen worden sei und dass auch andere Benutzer von Accellion FTA kompromittiert worden seien.

Kurz darauf, am 12. Januar, erklärte Accellion in einer Pressemitteilung , dass "weniger als 50 Kunden" von einer "P0-Schwachstelle" in seiner alten FTA-Software betroffen seien. Sie behaupteten weiter, dass sie Mitte Dezember 2020 erstmals von der Schwachstelle erfahren hätten und dass daraufhin ein Patch "innerhalb von 72 Stunden mit minimalen Auswirkungen" veröffentlicht worden sei.

Wichtige Urteile

Bedrohungsanalyse

Innerhalb weniger Wochen nach der ersten Pressemitteilung von Accellion gaben mehrere andere Unternehmen Datenschutzverletzungen bekannt, die auf die Ausnutzung von Accellion FTA zurückzuführen waren. Darüber hinaus tauchten auf der Website CL0P LEAKS Daten von Opfern des Accellion FTA-Angriffs auf, was eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellte. Basierend auf einer aktualisierten Zahl potenzieller Opfer, die Accellion am 22. Februar bekannt gab, und einer bis zum Zeitpunkt der Abfassung dieses Artikels (12. März) wachsenden Opferliste, gehen wir davon aus, dass im Laufe des nächsten Monats weitere ähnliche Berichte erscheinen werden. Die folgende Zeitleiste verfolgt neue Offenlegungen von Opfern, Analysen von Sicherheitsforschern und Updates von Accellion selbst.

Der Kommentar von Accellion zum Ausmaß der potenziellen Ausnutzung hat sich seit der ursprünglichen Veröffentlichung geändert. Am 12. Januar gab das Unternehmen an, dass weniger als 50 Kunden betroffen seien. Am 22. Februar korrigierte das Unternehmen diese Zahl auf weniger als 100 von insgesamt 300 FTA-Kunden.

Die folgende Grafik zeigt, dass der öffentliche Sektor am stärksten von der Ausnutzung der Accellion FTA-Sicherheitslücke betroffen war. Aufgrund der von Accellion veröffentlichten Verteilung der Kundenbranchen vermuten wir jedoch, dass die Sektoren Gesundheitswesen, Finanzen und Energie stärker betroffen sind als öffentlich berichtet.

dewmode-accellion-lieferkettenauswirkungen-1-1.png
Abbildung 1: Verteilung der Branchen für öffentlich bekannt gegebene Opfer der Ausnutzung der Accellion FTA-Schwachstelle (hellblau) im Vergleich zur Verteilung der Branchen für hochkarätige Kunden, wie auf der Website von Accellion aufgeführt (dunkelblau) (Quelle: Recorded Future)

Wir gehen davon aus, dass die Länder, die laut dem Five-Eyes-Bericht und unseren Untersuchungen Opfer des Accellion-FTA-Kompromisses sind (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA), aufgrund der bisherigen Verteilung der Opfer am stärksten von dieser Angriffsserie betroffen sind und es auch bleiben werden. Wir glauben jedoch nicht, dass diese Angriffe gezielt auf diese Länder abzielen. Darüber hinaus gibt es, wie die Karte unten zeigt, mehrere andere Länder, in denen Accellion-Kunden (und damit potenzielle Opfer von Ausbeutung) ansässig sind, darunter Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande.

dewmode-accellion-lieferkettenauswirkungen-2-1.png
Abbildung 2: Länder, die von der Ausbeutung des Freihandelsabkommens Accellion betroffen sind. Die roten Länder (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA) sind die Hauptquartiere der bestätigten Opfer der Ausbeutung durch das Accellion FTA. Die orange markierten Länder (Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande) sind die Hauptsitze anderer Kunden von Accellion, wie auf deren Website veröffentlicht wird. (Quelle: Recorded Future)

Gegenmaßnahmen

Die beim Accellion-Hack und in Verbindung mit der DEWMODE-Web-Shell verwendeten TTPs sind mittlerweile weithin bekannt und Bedrohungsakteure können sie modifizieren, um einer Erkennung zu entgehen. Die Insikt Group empfiehlt jedoch die folgenden Gegenmaßnahmen:

Wenn in Ihrer Organisation eine anfällige Version von Accellion FTA verwendet wurde, sollte eine Vorfallsreaktionsuntersuchung durchgeführt werden, um festzustellen, ob ein Verstoß vorliegt. Mit den folgenden Methoden können Protokolldaten auf Hinweise auf eine Kompromittierung untersucht werden.

Ausblick

Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.

Wenn sich Produkte wie Accellion FTA dem Ende ihres Lebenszyklus nähern, ist es wahrscheinlich, dass sie künftig weniger Entwicklerunterstützung und weniger Update-Überwachung haben. Organisationen, deren Software- oder Hardware das Ende ihrer Lebensdauer erreicht hat oder sich diesem nähert, sollten diese Produkte weiterhin überwachen und Migrationsstrategien für diese Tools auf aktuellere, unterstützte Tools entwickeln.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.