SolarWinds-Hack: Mit Active Cyber Defense gelingt es, derart raffinierte Kompromittierungen von Netzwerken frühzeitig zu erkennen
von Svenja Koch
Active Cyber Defense Kunden von secion können Sunburst Command & Control-Traffic identifizieren
Die Angriffsdimension des SolarWinds-Hack
Die Ausmaße des sicherlich spektakulärsten Hacking-Angriffs des Jahres, dem SolarWinds-Hack, stellen sich mehr und mehr als gigantisch heraus: Schätzungsweise seit März dieses Jahres sind Tausende Behörden, Unternehmen und Betreiber kritischer Infrastrukturen umfassend kompromittiert. Erst schien es nur um das IT-Sicherheitsunternehmen FireEye zu gehen, das über ein verseuchtes Update der SolarWinds-Software Orion kompromittiert wurde. Nach und nach stellte sich jedoch heraus, dass sich auch das US-amerikanische Finanzministerium, Handelsministerium, Heimatschutzministerium, Außenministerium und Teile des Pentagons auf diesem Weg eine raffinierte Spionagesoftware eingefangen haben. Zuletzt wurde bekannt, dass selbst das US-Energieministerium mitsamt seiner untergeordneten National Nuclear Security Administration (NNSA) betroffen ist. Mittlerweile gibt es Opfer vor allem in Nordamerika, in Europa, im Mittleren Osten und in Asien.
Auch Deutschland ist nicht verschont geblieben, das Ausmaß der Schäden ist allerdings noch nicht umfassend geklärt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigener Aussage Kenntnis davon, dass auch Unternehmen und Behörden in Deutschland die Software von SolarWinds einsetzen und zum Teil betroffen seien. 18 Prozent der Opfer seien Regierungen und Behörden, 44 Prozent Unternehmen der Informationstechnologie wie IT-Dienstleister, Netzbetreiber und IT-Ausrüster.
(Quelle: SpiegelNetzwelt, „Der Spionagefall des Jahres“, 18.12.2020)
Das Vorgehen der Angreifer
SolarWinds.Orion.Core.BusinessLayer.dll ist eine digital signierte schädliche Bibliothek der SolarWinds Orion-Software, die eine Hintertür enthält: Im Rahmen des Angriffs wurde der Code geändert, der als Teil des SolarWinds Orion-Pakets verteilt wird. Diese Änderung umfasste Code, der einen Beacon Befehls- und Steuerkanal (Command & Control Server / C&C) einrichtet, welcher einen C&C-Server zurückruft. Angreifer sind damit in der Lage, Befehle auf dem C&C-Server in die Warteschlange zu stellen, die ausgeführt werden, sobald das infizierte System eincheckt.
(Quelle: https://www.activecountermeasures.com)
Ist Ihr Unternehmen oder Ihr Managed Service Provider (MSP) ein SolarWinds-Kunde, besteht also die Wahrscheinlichkeit, dass Ihr Netzwerk kompromittiert wurde, so dass die Angreifer die Kontrolle über Hosts in Ihrem Netzwerk übernehmen können. Die meisten Organisationen versuchen aktuell fieberhaft festzustellen, ob sie betroffen sind.
Dieser spektakuläre Fall zeigt einmal mehr, dass etablierte Schutzmaßnahmen für aktuelle Bedrohungen nicht mehr ausreichend sind - und für Angreifer lediglich ein Ärgernis, jedoch kein tatsächliches Hindernis darstellen. Es bedarf vielmehr eines umfassenden Threat Hunting- und Incident Response-Service, wie ihn bereits viele unserer Kunden im Einsatz haben:
Der Active Cyber Defense Service von secion analysiert Netzwerke proaktiv und kontinuierlich auf Anomalien und identifiziert so die Kommunikation der Angreifer zu Command & Control Servern. Damit wird eine Identifizierung von Sicherheitsvorfällen unmittelbar nach erfolgter Kompromittierung eines Systems erreicht – und nicht erst nach der riskanten durchschnittlichen Zeitspanne von 6 Monaten, in denen sich Angreifer unbeobachtet in Ihrem Netz bewegen, weiter ausbreiten und beliebig Daten ausleiten oder manipulieren – so wie es in diesem aktuellen SolarWinds Hackerangriff erneut erfolgt ist.
Noch kein secion Active Cyber Defense Kunde?
Dann untenstehendes Kontaktformular ausfüllen und sich von unseren IT Security Experten kontaktieren und beraten lassen!