Update SolarWinds-Hack: Welche Neuigkeiten gibt es bei der Aufklärung des spektakulären Hackerangriffs aus 2020?
von Svenja Koch
Die Zahl der durch den SolarWinds Hack betroffenen Organisationen wächst weltweit weiter
Immer mehr Zeichen deuten darauf hin, dass der SolarWinds-Hack aus dem Jahre 2020 einer der größten und umfangreichsten Cyberangriffe aller Zeiten ist. Bereits im Dezember berichteten wir in unserem Blog darüber. Nach und nach gelangen mehr Details an die Öffentlichkeit. Das ganze Ausmaß ist jedoch weiterhin nicht abzuschätzen.
Zunächst bestätigte FireEye, ein US-amerikanischer Hersteller von Software für die Netzwerksicherheit, den erfolgreichen Angriff auf ihre Einrichtungen. Relativ schnell stand fest, dass ein kompromittiertes Update der SolarWinds-Software Orion die von den Angreifern ausgenutzte Sicherheitslücke war. Ebenso stellte sich bereits zu diesem frühen Zeitpunkt heraus, dass auch eine große Anzahl an US-Behörden von dem Sicherheitsvorfall betroffen war. Die letzten Wochen zeigten, dass Angreifer weltweit Netzwerke auf diesem Weg infiltriert haben. Inzwischen steht fest, dass mindestens 18.000 Kunden von SolarWinds das befallene Update für die SolarWinds-Software installiert haben. Diese Netzwerke stehen nun grundsätzlich unter dem Verdacht, ebenfalls kompromittiert zu sein.
Ebenfalls wächst die Zahl der in Deutschland betroffenen Unternehmen und Organisationen. Besorgniserregend ist, dass auch kritische Infrastrukturen befallen sind. Zu den Unternehmen, die Software von SolarWinds einsetzen, gehören unter anderem Wasserwerke, Telekommunikationskonzerne sowie Unternehmen aus der Pharmabranche. Ebenso steht mittlerweile fest, dass Bundesbehörden und Ministerien betroffen sind. Die Wehrtechnische Dienststelle 61, die Luftfahrtgeräte der Bundeswehr testet, sowie das Informationstechnikzentrum Bund, nutzen Softwareprodukte von SolarWinds. Selbst das Bundeskriminalamt, das Robert-Koch-Institut sowie das Technische Hilfswerk sind betroffen.
Ist die Anzahl der infiltrierten Netzwerke noch viel höher als derzeit angenommen?
Zum aktuellen Zeitpunkt ist das ganze Ausmaß des SolarWinds-Hacks noch immer nicht abzuschätzen. Während sich die Ermittlungen zunächst nur auf Nutzer der betroffenen Software, Orion, konzentrierten, besteht nun die Möglichkeit, dass der Cyberangriff einen noch viel größeren Umfang hat. So gibt eine Nachricht aus dem Hause Microsoft Anlass zur Sorge. Der US Software-Riese identifizierte in seiner Azure Cloud Aktivitäten, die einen Bezug zum SolarWinds-Hack andeuten. Microsoft verkündete öffentlich, dass bei Nachforschungen auffällige Aktivitäten in einigen ihrer internen Konten festgestellt wurden. Die gefundenen Vorgänge stehen offenbar im Zusammenhang mit digitalen Zertifikaten, die zu den Sicherheits- und Authentifizierungsprotokollen der Azure Cloud gehören. Dies ist insbesondere aus dem Grunde besorgniserregend, dass Microsoft kein Kunde von SolarWinds ist und die entsprechende Software Orion dort nicht zum Einsatz kommt. Laut Microsoft versuchten die Angreifer, zu den Quellcodes der Azure Cloud-Software vorzudringen. Die US-amerikanische Bundesbehörde CISA, die Cybersecurity and Infrastructure Security Agency, spricht bereits von einem zweiten Angriffsvektor.
Wieso blieb ein Angriff dieses Ausmaßes unentdeckt?
Der SolarWinds-Hack macht einmal mehr deutlich, wie perfide und subtil Cyberbedrohungen in der heutigen digital-vernetzten Welt sind. Bei einer genauen Analyse des Angriffsmusters und der eingesetzten Technik wird klar, warum der klassische, passive Ansatz der Cyber Security in diesem Fall erneut versagte, ja versagen musste. Firewalls, Virenscanner und ähnliche Systeme erkennen bekannte, unerwünschte Software und Programmbestandteile. So erkennt und blockt eine Firewall einen direkten Zugriffsversuch auf ein Netzwerk von außerhalb. Virensoftware findet schädliche Programme, deren Strukturen und Programmbibliotheken bekannt sind.
Die Cyberattacke über die Orion-Software von SolarWinds folgte jedoch einem ganz anderen Schema: Die Angreifer kompromittierten zunächst wahrscheinlich das Netzwerk von SolarWinds selbst. Dann schleusten sie in die Update-Routine von Orion einen Schadcode ein. SolarWinds verteilte daraufhin dieses kompromittierte Update über seine eigenen Verteiler. Die Kunden von SolarWinds und Nutzer der Software Orion installierten diese Updates in guter Gewissheit, eine sichere Aktualisierung durchzuführen. Die entsprechenden Funktionen und Programmteile, die die Hacker in Orion implementierten, konnten also nicht auffallen, da sie zertifiziert sind und zur Orion-Software gehörten. Nach der Installation des Updates war das Netzwerk de facto kompromittiert und den Angreifern stand ein direkter Zugang zur Verfügung.
Wer steckt hinter diesem großangelegten Angriff?
Wie immer ist es bei Cyberangriffen solchen Ausmaßes kaum möglich, den wirklichen Täter zu benennen. Gerade bei einer großangelegten Attacke wie dem SolarWinds-Hack sind die Angreifer darauf bedacht, möglichst unentdeckt zu agieren. In der IT-Sicherheitsbranche herrscht die Meinung vor, dass die Gruppe APT 29 hinter dem SolarWinds-Hack steckt. Bei APT 29 handelt es sich um eine russische Gruppe von Hackern, die auch unter dem Namen „Cozy Bear“ bekannt ist. Sie steht dem russischen Geheimdienst nahe. Bei einer Stellungnahme äußerte der US-Außenminister Mike Pompeo den Verdacht, dass APT 29 mit den Vorfällen bei SolarWinds in Verbindung steht. Von russischer Seite wird eine staatliche Beteiligung dementiert.
Das eigentliche Ziel dieses großen Cyberangriffs liegt nach wie vor im Dunkeln. Eigentliche Attacken auf kompromittierte Einrichtungen fanden nämlich bis zum heutigen Tage nicht statt. Somit behandeln die offiziellen Stellen in den USA, wie die NSA, den Vorfall weiterhin als Spionageakt. Ein eigentlicher Angriff auf Infrastrukturen liegt erst dann vor, wenn die Hacker Energieversorger oder andere kritische Einrichtungen über den Backdoor lahmlegen oder die Daten in deren Netzwerken verschlüsseln. Seit den Veröffentlichungen von Edward Snowden ist bekannt, dass staatliche Organe auf die im SolarWinds-Vorfall eingesetzte Methodik zurückgreifen, um Nachrichtenaufklärung zu betreiben. Auch die USA besitzen ein Gegenstück zur russischen Gruppe „Cozy Bear“. Diese wird unter dem Namen „Equation Group“ geführt und den Berichten von Edward Snowden zufolge gehören Angriffe nach dem Schema des SolarWinds-Hacks zu den normalen Tätigkeiten von staatlichen Hackergruppen.
Die Nachwirkungen des SolarWinds-Hacks
Aktuell sind Organisationen und Unternehmen auf der ganzen Welt damit beschäftigt, das eigene Netzwerk nach Kompromittierungen zu durchsuchen. SolarWinds selbst hat zwei Profis auf dem Gebiet der Cybersicherheit für die Aufarbeitung an Bord geholt. Der erst kürzlich von Donald Trump entlassene CISA-Direktor Chris Krebs sowie Alex Stamos, der früher als Sicherheitschef bei Facebook tätig war, haben nun die Aufgabe, die Integrität des Unternehmens wiederherzustellen. Auch innerhalb der Bundesregierung ist der SolarWinds-Hack ein Thema. Der FDP-Bundestagsabgeordnete Manuel Höferlin forderte eine schnelle und lückenlose Aufklärung, inwieweit Netzwerke in Deutschland betroffen sind. Aktuell läuft auch die Diskussion, welche Reaktion angemessen ist. Einige Experten fordern sogar, IT-Systeme bei Unternehmen, die Kunde von SolarWinds sind, unverzüglich vom Netz zu nehmen. Erst nach einer umfangreichen Überprüfung ist eine sichere Wiederinbetriebnahme möglich.
Der Grund für eine solche drastische Forderung liegt in der undurchsichtigen Gesamtsituation. Es ist weiterhin unklar, wie tief die Hacker in die Systeme eingedrungen sind und welche Implants sie versteckt haben. Somit ist eine Wiederaufnahme cyberkrimineller Aktivitäten in einem kompromittierten Netzwerk zu einem späteren Zeitpunkt durchaus möglich. Da auch die Ziele der Angreifer nach wie vor unklar sind, raten Experten zur äußerten Vorsicht.
Fazit:
Was bedeuten die Erkenntnisse aus dem SolarWinds Hack für Unternehmen?
Wer Software von SolarWinds und speziell das Programm Orion einsetzt, dessen komplettes Netzwerk wird aktuell als kompromittiert betrachtet. Eine umfangreiche Suche nach Angriffsspuren sowie versteckter Schadsoftware ist unerlässlich. Es zeigt aber auch, wie schnell ein Sicherheitsrisiko aus einer ganz unerwarteten Richtung auftaucht. Gegen solche Attacken sind die klassischen, passiven Abwehrmaßnahmen der IT-Sicherheit machtlos. Dementsprechend sind Unternehmen in der Pflicht, für ein höheres Niveau bei der eigenen Cybersicherheit zu sorgen.
Teil einer solchen umfassenden Strategie ist unter anderem ein Threat Hunting- und Incident Response-Service. Mit einer aktiven Suche nach verdächtigen Aktivitäten im eigenen Netzwerk ist es möglich, genau solche Vorfälle wie den SolarWinds-Hack aufzudecken. Die Angreifer platzierten in dem vorliegenden Fall eine Backdoor, die Kommunikationskanäle zu einem Command & Control (C&C) Server einrichtete. Diese Kommunikationen gehören zu den Aktivitäten in Netzwerken, die ein aktives Tool für die Suche nach verdächtigen Vorgängen in Netzwerken findet. Solche aktiven Maßnahmen, die IT-Sicherheitsdienstleister im Rahmen eines Threat Hunting- und Incident Response-Services implementieren, scannen permanent und aktiv das Netzwerk. Hierbei stützen sich diese Tools auf Logdaten aller zur Verfügung stehenden Systeme wie Netzwerkswitches, Betriebssysteme oder Datenbanken, und analysieren diese auf verdächtige Aktivitäten.
Kommunikationen mit einem C&C Server gehören zu den Vorfällen, die ein Threat Hunting- und Incident Response-Service aufdeckt. secion bietet mit Active Cyber Defense (ACD) einen Service an, der genau diese Leistung bereitstellt. Über den Managed Service wird eine aktive Suche nach verdächtigen Vorgängen im Netzwerk ausgerollt. Ohne aktive Protection-Maßnahmen in der Cyber Security vergehen im Schnitt bis zu sechs Monate, bis ein durch Cyberkriminelle infiltriertes Netzwerk entdeckt wird. Der aktuelle SolarWinds-Hack bestätigt diese Statistik erneut. Inzwischen gehen Experten davon aus, dass der Angriff auf SolarWinds schon im Oktober des Jahres 2019 begann.
Außerdem zeigt der Vorfall deutlich auf, wie wichtig eine umfassende IT-Sicherheitsstrategie ist, die ein Unternehmensnetzwerk in alle möglichen Gefährdungsrichtungen absichert.
Wie schützen Sie sich vor Angriffen wie dem SolarWinds Hack?
Kontaktieren Sie uns - unsere IT Security Experten unterstützen Sie gerne bei der Implementierung eines passenden Incident Response- und Threat Hunting Services!