Supply Chain-Attacke auf Passwort-Manager: Erneut Angriffsmuster von SolarWinds!
von Svenja Koch
Das Angriffsmuster der Supply Chain Attacke, das Ende 2020 bereits das Unternehmen SolarWinds getroffen hatte, scheint sich weiter erfolgreich fortzusetzen: Immer häufiger versuchen Cyberkriminelle, über das Einschleusen von Code in legitime Software zunächst auf die Rechner und damit an die Daten ihrer Opfer zu gelangen. So kam es jüngst zu einem Lieferkettenangriff auf den Softwarehersteller Click Studios und dessen Passwort-Manager Passwordstate. In diesem Fall gelang es den Angreifern, schadhaften Code über ein Update einzuschleusen, um so Kennwörter und andere vertrauliche Daten zu stehlen.
Click Studios informierte seine Kunden erstmals am vergangenen Freitag über die Attacke, die zwischen dem 20. und dem 22. April 2021 stattgefunden hat: Dabei wurde der Update-Mechanismus verwendet, um ein böswilliges Update über eine Zip-Datei "Passwordstate_upgrade.zip" zu löschen, die eine betrügerische DLL "moserware.secretsplitter.dll" enthält. Das Unternehmen erwähnt, dass das C&C der Rogue-DLL ein CDN (Content Delivery Network) verwendet hat, das am 22. April 2021 um 7:00 Uhr UTC beendet wurde. Es ist davon auszugehen, dass die Malware "Moserware", vertrauliche Informationen einschließlich der vorhandenen Kennwörter abgezogen hat.* Die Nutzer von Passwordstate, die ein Update in dem genannten Zeitraum eingespielt haben, sollten daher davon ausgehen, dass ihre Umgebung infiltriert wurde und ihre Systeminformationen sowie Passwortdaten als kompromittiert gelten: Hierunter sollen neben Computer-, Benutzer-, Domänen- und aktuellem Prozessnamen die aktuelle Prozess-ID, Name und ID aller laufenden Prozesse sowie Benutzername und Passwort fallen. Dazu kommen weitere Felder in der Kennworttabelle der Passwordstate-Instanz. *https://www.csis.dk
Der Domänenname und der Hostname würden nicht extrahiert. Es gebe bisher "keinen Hinweis darauf, dass Verschlüsselungsschlüssel oder Datenbank-Verbindungszeichenfolgen an das CDN-Netzwerk der Hacker gesendet würden", so das Unternehmen Click Studios.
Handlungsempfehlungen
Der Anbieter Click Studios empfiehlt den Nutzern von Passwordstate, umgehend all ihre Passwörter zurücksetzen, falls sie den Upgrade Passwordstate_upgrade.zip" in den 28 Stunden zwischen 20. April, 8.33 PM UTC und 22. April 0.30 Uhr AM UTC heruntergeladen haben. "Es wird davon ausgegangen, dass nur Kunden, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben, betroffen sind und deren Passwordstate-Passwortdaten möglicherweise abgegriffen wurden", so das Unternehmen.
Weitere Informationen hierzu stellt Click Studios in einem Advisory pdf zur Verfügung.