Was ist der SolarWinds-Angriff und bin ich betroffen?

Gegen Ende 2020 dominierte ein Name die Sicherheitslandschaft: SolarWinds.

Angreifer verwendeten die SolarWinds-Software als Ausgangspunkt für andere Ziele in einem Prozess, der als Supply-Chain-Angriff bezeichnet wird.

Das Ergebnis waren Zehntausende von Opfern, Datenverletzungen bei mehreren Regierungsbehörden und eine Anhörung des Kongresses mit einigen der Top-Namen in den Bereichen Technologie und Sicherheit, darunter Microsoft, FireEye und CrowdStrike.

Was ist SolarWinds? Was ist während eines der größten Cyberangriffe der letzten Zeit passiert?

Was ist SolarWinds?

SolarWinds ist ein bekanntes Unternehmen, das Systemmanagement-Tools entwickelt und liefert. Zu seinen Kunden zählen Hunderte von Fortune 500-Unternehmen sowie zahlreiche US-amerikanische und ausländische Regierungsbehörden.

SolarWinds entwickelt und vertreibt ein Managementsystem namens Orion. Unternehmen können Orion verwenden, um IT-Ressourcen zu verwalten, Verwaltungsaufgaben auszuführen, die Überwachung vor Ort und außerhalb des Standorts durchzuführen und vieles mehr.

Die SolarWinds Orion-Software steht im Mittelpunkt des SolarWinds-Angriffs.

Was ist mit der SolarWinds Orion-Software passiert?

SolarWinds Orion hat über 33.000 Kunden. Jeder dieser Kunden erhält Software-Updates direkt von SolarWinds, die Updates live an Kunden senden. Der Orion-Kunde installiert das Update, sobald es eintrifft, und alles funktioniert wie gewohnt weiter.

Anfang 2020 hat eine Gruppe von Hackern stillschweigend gegen die SolarWinds-Infrastruktur verstoßen und einem SolarWinds Orion-Update-Paket schädlichen Code hinzugefügt. Als das Update an Tausende von SolarWinds Orion-Kunden verschickt wurde, waren die schädlichen Dateien damit verbunden.

Sobald das Update die Kundennetzwerke erreichte, musste nur noch darauf gewartet werden, dass der Kunde die schädlichen Dateien installiert und dabei eine Hintertür in sein Netzwerk erstellt.

Die trojanisierte Version der Orion-Software wurde auf Tausenden von Computern in mehreren hochkarätigen Netzwerken installiert. Dies ist ein zentraler Bestandteil des Supply-Chain-Angriffs. Ein Anbieter mit Zugriff auf andere Netzwerke wird identifiziert und angegriffen, ist jedoch nicht das einzige Ziel. Die Angreifer verwenden den Anbieter als Startrampe in die Netzwerke anderer Ziele.

Microsoft-Produkte sind auch bei Supply-Chain-Angriffen betroffen

SolarWinds war nicht das einzige Technologieunternehmen, dessen Produkte in einen Supply-Chain-Angriff verwickelt waren. Microsoft war ein Opfer des Gesamtangriffs, aber Microsoft-Produktverkäufer und -Distributoren waren auch darauf ausgerichtet, andere verknüpfte Netzwerke zu gefährden.

Die Angreifer versuchten zunächst, direkt auf die Office 365-Infrastruktur von Microsoft zuzugreifen. Als sie jedoch fehlschlugen, richtete sich die Aufmerksamkeit auf Microsoft-Wiederverkäufer. Mindestens ein Microsoft Cloud Service Provider wurde als Sprungbrett für andere Netzwerke ausgewählt.

Eine weitere Sicherheitsanfälligkeit für Microsoft-Produkte, diesmal in der Outlook-Webanwendung, ermöglichte es den Angreifern, die Zwei-Faktor-Authentifizierungsprüfungen zu umgehen und auf private E-Mail-Konten zuzugreifen, die dann für die Datenerfassung verwendet wurden.

Darüber hinaus bestätigte Microsoft, dass der Angreifer auf den Quellcode für Windows 10 und andere Produkte zugegriffen hat, obwohl der Code nicht wichtig genug war, um als Risiko eingestuft zu werden.

Wer wurde vom SolarWinds-Angriff getroffen?

Die Angreifer schlugen nicht sofort zu. Nachdem die Hacking-Gruppe Zugang zu einer Reihe hochkarätiger Netzwerke erhalten hatte, wartete sie monatelang, um mit der zweiten Phase des Angriffs zu beginnen.

Die Hacking-Gruppe hatte bereits im März 2020 gegen SolarWinds verstoßen, aber die erste Ahnung vom Ausmaß des Verstoßes kam erst im Dezember 2020, etwa neun Monate später.

Die führende Sicherheitsfirma FireEye gab bekannt, dass sie Opfer des Hacks waren und dass die Angreifer dabei einige ihrer offensiven Hacking-Tools gestohlen hatten. Zu diesem Zeitpunkt war die FireEye-Verletzung nicht mit SolarWinds verbunden.

Etwa eine Woche später gab es von mehreren US-Regierungsbehörden einen stetigen Fluss von Berichten über einen Backdoor-Angriff. Das US-Finanzministerium und die National Nuclear Security Administration sowie die Ministerien für innere Sicherheit, Staat, Verteidigung, Handel und Energie sowie Teile des Pentagon wurden verletzt.

Zu dieser Zeit sagte der Cybersicherheitsforscher Prof. Alan Woodward im Gespräch mit der BBC :

Nach dem Kalten Krieg ist dies eine der potenziell größten Durchdringungen westlicher Regierungen, die mir bekannt sind.

Die Liste der Opfer ist umfangreich und umfasst mehrere Länder, zahlreiche Technologieunternehmen und Tausende von Netzwerken. Namen wie Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes und Mimecast erlitten alle Verstöße.

Verwandte: Microsoft blockiert Sunburst-Malware im Stammverzeichnis von SolarWinds Hack

Wie endete der SolarWinds-Angriff?

Wie Sie es von einem Angriff dieser Größe erwarten können, war es nicht so einfach, einen Schalter zu betätigen und die SolarWinds-Sicherheitslücke zu schließen.

Erstens war SolarWinds kein Einheitsangriff. Obwohl SolarWinds Orion das primäre Startfeld für die Zielnetzwerke war, nutzten die Angreifer ihre Zeit, um eine Reihe einzigartiger Malware-Typen zu erstellen, die nach dem Zugriff mit anderen zuvor nicht sichtbaren Exploits kombiniert wurden.

Der Microsoft-Sicherheitsblog enthält eine ausführliche Erläuterung der Funktionsweise einiger dieser Malware-Typen. Sie können jedoch eine kurze Übersicht unten lesen:

• GoldMax: GoldMax ist in Go geschrieben und fungiert als Befehls- und Steuerungs-Hintertür, die böswillige Aktivitäten auf dem Zielcomputer verbirgt. Wie beim SolarWinds-Angriff festgestellt, kann GoldMax Täuschungsnetzwerkverkehr generieren, um den böswilligen Netzwerkverkehr zu verschleiern und den Anschein von normalem Verkehr zu erwecken.
• Sibot: Sibot ist eine VBScript-basierte Malware mit doppeltem Verwendungszweck, die eine dauerhafte Präsenz im Zielnetzwerk aufrechterhält und eine böswillige Nutzlast herunterlädt und ausführt. Microsoft stellt fest, dass es drei Varianten der Sibot-Malware gibt, die alle leicht unterschiedliche Funktionen haben.
• GoldFinder: Diese Malware ist auch in Go geschrieben. Microsoft glaubt, dass es "als benutzerdefiniertes HTTP-Tracer-Tool" zum Protokollieren von Serveradressen und anderen am Cyberangriff beteiligten Infrastrukturen verwendet wurde.

Sobald Microsoft und andere Sicherheitsunternehmen genug über die im Spiel befindlichen Malware-Typen erfahren, können sie versuchen, ihre Verwendung zu blockieren. Erst dann kann die vollständige Bereinigung beginnen.

Der Microsoft-Sicherheitsblog bietet außerdem einen weiteren wichtigen Ausschnitt zum "Ende" des SolarWinds-Angriffs:

Angesichts des etablierten Musters dieses Akteurs, für jedes Ziel eine einzigartige Infrastruktur und Tools zu verwenden, und des betrieblichen Werts, seine Persistenz in gefährdeten Netzwerken aufrechtzuerhalten, werden wahrscheinlich zusätzliche Komponenten entdeckt, wenn unsere Untersuchung der Aktionen dieses Bedrohungsakteurs fortgesetzt wird.

Wer steckte hinter dem SolarWinds-Angriff?

Die große Frage: Wer war es? Welche Hacking-Gruppe hat die Fähigkeiten, einen der größten und fortschrittlichsten Hacks in der Geschichte durchzuführen?

Die Technologieunternehmen und die US-Regierung zeigen mit dem Finger direkt auf eine von der russischen Regierung unterstützte Hacking-Gruppe, obwohl es immer noch schwierig ist, an eine speziell benannte Gruppe zu kommen.

Dies könnte die berüchtigte Hacking-Gruppe Cosy Bear (APT29) bedeuten. Die Sicherheitsfirma Kaspersky sagte, dass einige Malware-Beispiele Malware ähneln, die von einem Hacking namens Turla verwendet wird, das Verbindungen zum russischen föderalen Sicherheitsdienst FSB hat. Mehrere US-Beamte haben Russland oder eine von Russland beeinflusste Hacking-Gruppe beschuldigt.

Bei einer Anhörung des US-Senats zum Cyberangriff behauptete Microsoft-Präsident Brad Smith auch, dass Russland hinter dem Angriff stecke. Er bekräftigte außerdem, dass Microsoft "weiterhin Nachforschungen anstellt, da wir nicht glauben, dass noch nicht alle Vektoren der Lieferkette entdeckt oder veröffentlicht wurden".

Die führenden Vertreter der anderen Technologieunternehmen, CrowdStrike, FireEye und SolarWinds, gaben in der mündlichen Verhandlung ähnliche Erklärungen ab.

Ohne Bestätigung oder einen Killer-Beweis, den die US-Regierung enthüllen kann, bleibt dies jedoch eine starke Anschuldigung. Wie aus dem obigen Tweet hervorgeht, verfügt das CISA immer noch über ein Beweisstück, kann es jedoch nicht offenlegen, damit keine Kontakte, Quellen und möglicherweise laufenden Untersuchungen des Angriffs verbrannt werden.

Ist SolarWinds vorbei?

Laut Microsoft ist dies möglicherweise nicht der Fall. Aber die Wahrheit ist, dass wir bei einem Angriff dieser Art, der so viele verschiedene Netzwerke in unterschiedlichem Maße durchbrochen hat, wahrscheinlich nie das wahre Ausmaß von SolarWinds erfahren werden.

Es gibt wahrscheinlich Unternehmen, gegen die verstoßen wurde, deren Netzwerk jedoch als unzureichend eingestuft wurde, um die Nutzung fortzusetzen. Dies ist die Fähigkeit der Hacking-Gruppe, die möglicherweise keine Spur von Eintritten hinterlassen hat.

Dabei ging es bei SolarWinds nicht darum, eine Szene zu verursachen und die Dinge durcheinander zu bringen. Es war das genaue Gegenteil: sorgfältig orchestriert, was enorme Mengen an Präzisionsbewegungen erfordert, um schrittweise zu arbeiten und eine Erkennung zu vermeiden.

Es eröffnet sicherlich die Konversation über die Offenlegung verantwortungsbewusster Sicherheitslücken, die Meldung von Fehlern und andere Möglichkeiten zur Stärkung der Sicherheitsprotokolle gegen solche Angriffe.

Sollte ich mir Sorgen um SolarWinds machen?

Für normale Verbraucher wie Sie und mich liegt dies weit über unserer Gehaltsstufe.

Angriffe dieser Art wirken sich normalerweise nicht auf normale Verbraucher aus, zumindest nicht direkt wie ein Phishing-Angriff oder eine Person, die Malware auf Ihrem Computer installiert.