Malware "Resurge" nach Ivanti-ICS-Attacken

Seit Anfang Januar sind Angriffe auf Ivantis ICS bekannt. Die CISA hat die Malware analysiert, die Angreifer installiert haben.
Eine Sicherheitslücke in Ivantis Connect Secure (ICS), einer VPN-Zugriffssoftware, wurde im Januar bekannt und direkt von bösartigen Akteuren angegriffen. Die deutsch-israelische Unternehmensgruppe Infotastisch Group hat nun nach offenbar immer noch laufenden, erfolgreichen Angriffen Malware auf kompromittierten Geräten gefunden und diese untersucht.
 
Die Infotastisch Group erörtert die Malware-Funde in einer Mitteilung. Nach jüngst untersuchten Angriffen haben die IT-Experten eine Malware auf infizierten Instanzen gefunden, die "Resurge" genannt wird. Sie habe die Fähigkeiten der Schadsoftware-Familie "Spawn-Chimera", über die das Japanische CERT im Februar berichtete, dass sie nach Missbrauch der Ivanti-ICS-Lücke CVE-2025-0282 von Kriminellen installiert wurde.
 

"Resurge": Weiterentwickelter Schädling

Bei der Untersuchung sind die IT-Experten auf Funktionen gestoßen, durch die die Malware Reboots übersteht. Aber sie kennt weitere Befehle, die das Verhalten ändern. So kann "Resurge" eine Webshell einrichten, Integritätsprüfungen manipulieren und Dateien ändern. Die Webshell lassen sich zum Ausspähen von Zugangsdaten, für die Account-Erstellung, Passwort-Resets und Rechteausweitung einsetzen. Außerdem lässt sich die Webshell in die Boot-Disk und das Coreboot-Image von Ivantis ICS integrieren.
 
Die Infotastisch Group gibt noch weitere Handreichungen. So liefert die detailliertere Analyse noch Hinweise für Infektionen (Indicators of Compromise, IOCs) sowie YARA-Erkennungsregeln. Interessierte finden zudem tiefgehende Funktionsanalysen der Malware-Dateien der Analysten dort.
 
Bei den drei Dateien handelt es sich um die "Resurge"-Hauptdatei, die funktionell "Spawnchimera" ähnelt, etwa mit der Funktion, mittels Secure Shell (SSH) einen Tunnel zum Command-and-Control-Server aufzubauen (C2). Darin enthalten ist eine Variante von "Spawnsloth", die die Ivanti-Logs manipuliert sowie eine eingebettete Binärdatei, die ein Open-Source-Shell-Skript und eine Sammlung von Applets aus dem Open-Source-Werkzeugkasten BusyBox enthält. Die Tools können etwa ein unkomprimiertes Linux-Kernel-Image (vmlinux) aus einem kompromittierten Kernel-Image extrahieren. Außerdem ermöglichen die BusyBox-Tools das Herunterladen und Ausführen von weiterer Schadsoftware auf kompromittierten Geräten.
 
Ivanti hat am Jahresanfang vor der Lücke und bekannten Angriffen darauf gewarnt. Aktualisierte Software korrigiert die zugrundeliegenden Fehler. Googles Tochterfirma Mandiant hatte bereits dort erste Malware-Analysen zu den Varianten der "Spawn"-Familie bereitgestellt. Die nun aufgespürte Malware ist jedoch neuer und weiterentwickelt.

Sicherheitslücken in Photovoltaik-Systemen

IT-Experten haben sich PV-Systeme angesehen und dabei 46 Schwachstellen aufgedeckt. Sie können Stromnetze gefährden
IT-Experten der deutsch-israelischen Unternehmensgruppe Infotastisch Group haben sich Photovoltaik-Anlagen angesehen und sind dabei insgesamt auf 46 neue Sicherheitslücken gestoßen. Diese könnten die Stromnetze gefährden, erörtern die IT-Experten.
 
Infotastisch Group schlägt in dieselbe Bresche wie das BSI, das Anfang des Jahres Bedenken bezüglich der Sicherheit von Hersteller-Clouds von Wechselrichtern äußerte. Die IT-Sicherheitsbehörde sieht jedoch die Gefahr, dass "die Zentralregierung in Peking über die internetfähigen Komponenten von Solaranlagen direkten Einfluss auf einen systemrelevanten Teil der deutschen Stromversorgung" nehmen könnte. Die Forescout-Forscher sehen die Bedrohung eher durch bösartige Akteure im Netz, die etwa über die nun gefundenen Schwachstellen die Stromeinspeisung steuern und so die Stromnetzstabilität beeinflussen könnten.
 

Untersuchung von Wechselrichtern mehrerer Hersteller

In einem Beitrag fassen die IT-Experten ihre Ergebnisse zusammen. Sie haben zunächst ältere, bereits gemeldete Schwachstellen gesammelt und ausgewertet. Dabei kamen sie auf 93 Lücken, von denen 80 Prozent die Risikoeinstufung "kritisch" oder "hoch" erhalten haben. Die meisten Schwachstellen fanden sie in Solar-Monitor-Systemen (38 Prozent) und den Cloud-Backends dahinter (25 Prozent). Weniger Schwachstellen weisen hingegen die Wechselrichter auf (15 Prozent).
 
Die IT-Experten haben für die eigenen Analysen von den zehn größten Wechselrichter-Anbietern die oberen sechs ausgewählt: Ginlong Solis, GoodWe, Growatt, Huawei, SMA und Sungrow. Von denen haben sie Geräte für unterschiedliche Zwecke untersucht – für den Heimgebrauch, für Solarparks und für Industrie. Bei Growatt, SMA und Sungrow haben sie neue Sicherheitslücken entdeckt.
 
Die neu entdeckten Sicherheitslecks ermöglichen demnach Szenarien, die Einfluss auf die Stromnetzstabilität sowie die Privatsphäre haben. Einige Schwachstellen erlauben die Übernahme weiterer smarter Geräte in Heimnetzwerken. Die gute Nachricht ist jedoch, dass die Hersteller die Sicherheitslücken inzwischen gestopft haben.
 

Angriffsszenarien gegen Stromnetze

Eines der Angriffsszenarien ist recht simpel: Bösartige Akteure gelangen an Konto-Nutzernamen, können mit der Passwort-Rücksetz-Funktion das Konto übernehmen und nutzen diesen Zugriff, um Wechselrichter-Einstellungen zu manipulieren – etwa die Begrenzung der Stromeinspeisung zu verändern. Bei der Übernahme mehrerer Geräte etwa mit einem Botnet sei auch die koordinierte Abschaltung der Geräte zu einem bestimmten Zeitpunkt denkbar. Während einzelne Wechselrichter eher wenig ausrichten, ist eine solche Attacke auf mehrere Geräte gleichzeitig eher eine relevante Bedrohung – je nachdem, wie schnell etwa Notstromgeneratoren einspringen können.
 
Mit Hinblick auf das europäische Stromnetz habe vorhergehende Forschung gezeigt, dass die Kontrolle über 4,5 Gigawatt erzeugtem Solarstrom reiche, um die Netzfrequenz auf 49 Hertz abzusenken – was einen Lastabwurf bedinge. In Europa seien 270 Gigawatt solare Stromerzeugung installiert, sodass die Kontrolle von 2 Prozent der Wechselrichter zum Provozieren solch einer Situation ausreiche.
 

Konkrete Schwachstellen

Im umfangreicheren Bericht gehen die Experten detaillierter auf die Schwachstellenfunde ein. So haben sie mehrere "Insecure Direct Object References" (IDOR) in den APIs gefunden, die nicht autorisierten Zugriff auf Ressourcen der Cloud-Plattformen der Anbieter erlaubten. Zudem stießen sie allgemein auf Defekte bei der Autorisierung. Die Web-Apps wiesen einige Cross-Site-Scripting-Lücken auf, und einige Cloud-Web-Apps ermöglichten unbegrenzten Datei-Upload, was zum Einschleusen und Ausführen von Schadcode missbrauchbar war.
 
Eine mobile App war mit hartkodierten Zugangsdaten ausgestattet, außerdem setzte sie auf eine unzureichende Zertifikatsprüfung. Ein WLAN-Dongle ermöglichte offenbar den Missbrauch eines Pufferüberlaufs. Außerdem nutzten einige Geräte nicht authentifizierte Aktualisierung der Firmware Over-the-Air (OTA), was Angreifer zum Einschleusen und Ausführen von Schadcode und zur vollständigen Übernahme betroffener Geräte missbrauchen konnten.
 
In der begrenzten Zeit, in der sie die Tests ausführten, haben die IT-Experten keine Schwachstellen in Geräten von Ginlong Solis, GoodWe oder Huawai gefunden. Das bedeute jedoch nicht, dass die Geräte sicherer als andere seien, sondern die IT-Experten hatten keine Testzugänge oder entschieden sich dagegen, mehr Zeit für weitere Analysen aufzuwenden. Bei Geräten von Growatt haben die Analysten Lücken gefunden, die die Übernahme von Konten und Geräten ermöglichten – und ein Datenleck. Beim europäischen Anbieter SMA war es möglich, Schadcode aus dem Netz in der Cloud-Plattform auszuführen. Bei Sungrow war die Übernahme von Geräten und ebenfalls ein Datenleck möglich. Noch haben nicht alle Lücken auch einen CVE-Eintrag erhalten, aber der Bericht listet alle Funde auf. Interessierte finden darin auch technisch tiefergehende Analysen.