Ein weiteres Kapitel in der Reihe massiver Angriffe

Sheila Zabeu -

Juni 01, 2021

Ein massiver Angriff auf den Microsoft Exchange Server sorgte im März 2021 für eine Fortsetzung der aktuellen globalen Cybersicherheitskrise. Microsoft zufolge wurden nur On-Premise-Umgebungen angegriffen; die Online-Version des Exchange Servers sei nicht beschädigt worden. Das Microsoft Threat Intelligence Center (MSTIC) führt diesen Angriff auf HAFNIUM zurück, eine von China unterstützte Gruppe.

Bei diesem Vorfall handelt es sich um den zweiten massiven Cyberangriff in weniger als vier Monaten. Ende 2020 wurde einer der komplexesten und am längsten andauerndsten Angriffe bekannt, dessen primäres Ziel die von SolarWinds entwickelte Orion Plattform war. Die Angriffe kompromittierten schließlich die Systeme mehrerer US-Behörden und privater Unternehmen.

Es gibt keine Hinweise darauf, dass der jüngste Angriff auf den Exchange Server mit dem Fall SolarWinds in Verbindung steht. Doch wie man so schön sagt: Ein gebranntes Kind scheut das Feuer. Die Befürchtung ist, dass Verzögerungen bei der Installation von Patches auf den angegriffenen Exchange Servern ähnliche – oder noch schlimmere – Schäden anrichten könnten, wie sie durch die Schwachstellen der Orion-Plattform von SolarWinds verursacht wurden.

Laut Bloomberg arbeitet die Biden-Regierung gemeinsam mit Microsoft an einer öffentlich-privaten Initiative, um agilere Reaktionen auf die jüngsten Cyberangriffe auf die USA zu ermöglichen. Dadurch soll verhindert werden, dass Hacker eine stärkere Kontrolle über kritische IT-Systeme erlangen. Darüber hinaus arbeitet die US-Regierung daran, das Ausmaß dieser Angriffe zu ermitteln. Gleichzeitig untersucht Microsoft, ob Hacker die Erkenntnisse der DEVCORE-Forscher ausgenutzt haben, die als Erstes vor den Schwachstellen der Exchange Server gewarnt hatten.

Der erste bekannte Bericht über dieses Problem wurde am 5. Januar von einem DEVCORE-Sicherheitsforscher veröffentlicht. Erst am 2. März behob Microsoft vier Schwachstellen innerhalb des Exchange Servers. Am 15. März veröffentlichte Microsoft ein Ein-Klick Mitigation-Tool, um Unternehmen ohne eigene Sicherheits- oder IT-Teams bei der Installation der Patches zu helfen.

Die Schwachstellen sind in einem Blogpost des Microsoft Security Response Center (MSRC) aufgeführt. Um das Ausmaß des Angriffs zu veranschaulichen, nutzte Microsoft die RiskIQ-Telemetrie und stellte fest, dass am 1. März beinahe 400.000 Exchange-Server betroffen wären.

Die Reaktion der US-Regierung

Nur wenige Wochen nach dem Bekanntwerden des SolarWinds-Falls verabschiedeten der US-Senat und das Repräsentantenhaus den National Defense Authorization Act of 2021. Damit verfügt das Weiße Haus jetzt über einen nationalen Cyber-Direktor, der vom Senat bestätigt wurde, so Fortune. Der neue Cyber-Direktor wird für die Entwicklung einer Cyberstrategie verantwortlich sein und als Ansprechpartner für die Koordination von nicht-militärischen Reaktionen im Katastrophenfall fungieren.

Die öffentlich-private Partnerschaft wird als essentiell angesehen, da 85 % der kritischen Infrastruktur in den USA im Besitz von privaten Organisationen ist oder von diesen betrieben wird. Mit einer solchen Relevanz geht jedoch auch eine gewisse Verantwortung einher. Die Cyberspace Solarium Commission (CSC) – ein parteiübergreifendes, zwischenstaatliches Gremium mit dem Ziel, einen Konsens über strategische Ansätze zur Verteidigung der Vereinigten Staaten gegen Cyberangriffe mit relevanten Folgen zu entwickeln – schlägt in einem 2020 veröffentlichten Bericht vor, die Entwickler von Software, Hardware und Firmware zivilrechtlich für Schäden in die Verantwortung zu ziehen, die aus Vorfällen entstehen, bei denen bekannte und nicht gepatchte Sicherheitslücken ausgenutzt werden.

Währenddessen…

Ebenfalls im März führte eine Hacker-Gruppe einen massiven Angriff auf Bilder von Verkada Echtzeitkameras und archivierten Überwachungskameras aus. Verkada ist ein Sicherheitsdienstleister, der Kameras verwendet, die mit dem Internet und mit Cloud-Plattformen verbunden sind, sodass die Videos live von überall aus angesehen werden können.

Nach Angaben von Verkada zielte der Angriff auf einen Server, der vom Support-Team genutzt wurde, um weitreichende Wartungsarbeiten an den Kameras der Kunden durchzuführen. Der Angriff begann am 7. März und dauerte bis etwa mittags am 9. März 2021. Die Angreifer verschafften sich Anmeldedaten, mit denen sie das Autorisierungssystem von Verkada umgehen konnten, einschließlich der Zwei-Faktor-Authentifizierung.

Ein Hacker teilte einige Videos mit der Washington Post. Der Zeitung zufolge wurden mehr als 149.000 Überwachungskameras angegriffen; rund 24.000 Organisationen seien betroffen. Über den Angriff wurde zunächst von Bloomberg News berichtet, wobei Tesla und deren Produktion in Shanghai ebenso als Opfer der Angriffe aufgeführt wurden wie Cloudflare, Schulen, Fitnessstudios, Banken, Krankenhäuser und Gefängnisse.

Laut einem Bericht von MarketsandMarkets wird der globale Videoüberwachungsmarkt im Jahr 2020 von 45,5 Milliarden US-Dollar auf 74,6 Millarden US-Dollar wachsen, mit einer jährlichen Wachstumsrate von 10,4 %. Als Faktoren, die das Wachstum vorantreiben, führt die Studie die Sorge um die öffentliche Sicherheit, die Entwicklung von Smart Cities und technologische Fortschritte in den Bereichen Big Data, Internet der Dinge (IoT), Cloud-Diensten, künstlicher Intelligenz und Machine Learning auf, die allesamt die Videoüberwachungssysteme verbessern.