Was der Fall SolarWinds uns gelehrt hat

Sheila Zabeu -

April 27, 2021

Ein Cyberangriff, den manche Experten als den komplexesten und am längsten andauernden Angriff aller Zeiten bezeichnet haben, machte in den letzten Tagen des Jahres 2020 Schlagzeilen. Das primäre Ziel des Angriffs war die SolarWinds Orion platform.

Obwohl der Angriff schon seit mindestens März 2020 stattfand, tauchte erst im Dezember die erste öffentliche Meldung vom Unternehmen FireEye auf, das Malware in SolarWinds Orion identifiziert hatte. Das Unternehmen für Cybersicherheit war selbst Opfer des Angriffs geworden. Seitdem gab es eine Reihe von Fällen kompromittierter Systeme in Unternehmen, aber vor allem in wichtigen Bundesbehörden der USA. Es war nur die Spitze des Eisbergs, die offen legte, was zur schlimmsten Cyberattacke des Landes hätte werden können.

„Der Cyberangriff war technisch und strategisch sehr gut abgestimmt und zielte vor allem auf die US-Regierung ab“, sagte Thiago Bordini, Cyber Intelligence Director bei der New Space Group, die vom brasilianischen Verteidigungsministerium für die Erbringung von Dienstleistungen zugelassen ist, die die nationale Souveränität hinsichtlich Betrugsprävention und Cyber-Risikoanalyse gewährleisten.

Bordini zufolge gelang es den Angreifern, den Erstellungsprozess der Orion-Updates zu infiltrieren, ohne eine Spur zu hinterlassen. Dabei handelt es sich um ein hochentwickeltes technisches Verfahren. CrowdStrike und KPMG unterstützten SolarWinds bei der Untersuchung und Analyse der Ereignisse, die zur Einbindung schadhafter Codes in den Entwicklungsprozess des Unternehmens führten. Aus strategischer Sicht geschah dies mittels der Orion-Plattform, die den gesamten IT-Stack von einem einzigen Punkt aus überwacht, analysiert und verwaltet und dazu einen privilegierten Zugang erfordert. Zudem wird die Plattform von vielen US-Regierungsstellen verwendet.

Nicht umsonst erklärte die Kongressabgeordnete Yvette Clarke, seit Anfang 2021 neue Vorsitzende des Cybersecurity-Ausschusses des US-Repräsentantenhauses, in einem ihrer ersten Interviews, dass sie sich drei schweren Herausforderungen in der Cybersicherheit stellen möchte, wobei die ersten beiden eine effektive Antwort auf die Cyberangriffe in Zusammenhang mit SolarWinds Orion sein würden; die andere beziehe sich auf die Sicherheit von Wahlen.

Während viele dokumentierte Angriffe auf Kunden- und Bürgerdaten abzielen, beispielsweise auf Kreditkarten- und Sozialversicherungsnummern, scheint im Fall SolarWinds Spionage das Hauptziel gewesen zu sein. Staatsgeheimnisse könnten ein Ziel der Angreifer sein. Andererseits hat bisher kein Unternehmen zugegeben, schwer betroffen zu sein. Um ein Beispiel aus der Technologiebranche zu nennen: Microsoft bestätigte Ende 2020, dass Angreifer zwar Zugriff auf Teile des Quellcode-Repositorys hatten, aber keine Änderungen vorgenommen wurden.

Unter Experten aus Unternehmen und der US-Regierung besteht der starke Verdacht, dass der Angriff auf die US-Cyber-Infrastruktur von einem ausländischen Nationalstaat durchgeführt wurde. Der Hauptverdacht ist, dass es sich bei diesem Staat um Russland handelt. Eine von Microsoft erstellte Karte verdeutlicht die nahezu globalen Ausmaße der angegriffenen Ziele, bei denen es sich um zahlreiche Landeshauptstädte außerhalb Russlands handelt, sowie die hohe Inzidenz in den Vereinigten Staaten von Amerika.

Die Karte basiert auf der Telemetrie von Microsoft Defender Antivirus und bildet Kunden ab, die sowohl Defender als auch von der Malware betroffene Versionen der Orion-Plattform verwenden.

Einem Reuters-Bericht vom Februar 2021 zufolge haben chinesische Hacker im Jahr 2020 ebenfalls Computer der US-Regierung angegriffen. Die ausgenutzte Sicherheitslücke, auch in der SolarWinds Software, wurde Supernova genannt und weist offenbar keine Verbindung zu derjenigen auf, die den Hackern erlaubte, in den Build-Prozess des Unternehmens einzudringen. Chinesische Hacker nutzten diese Schwachstelle erst, nachdem sie auf anderem Wege in das Netzwerk eingedrungen waren. Dann nutzten sie die Schwachstelle, um tiefer einzudringen. SolarWinds beseitigte diese Sicherheitslücke im Dezember.

Die Aufgabe, IT-Umgebungen von Unternehmen, die die Orion-Plattform nutzen oder nicht nutzen, zu durchforsten und Beweise für das Eindringen, für Datenmanipulation und für offene Sicherheitslücken im Hinblick auf zukünftige Angriffe zu finden, steht erst am Anfang. Sie kostet viel Zeit und viele Ressourcen. Bei der Betrachtung des Ausmaßes des Falles SolarWinds und der Analyse-Initiative, wurden drei weitere Schwachstellen in weniger als zwei Monaten identifiziert. Trustwave, das mit Geheimdiensten zusammenarbeitet, um Cyber-Angriffe zu bekämpfen, entdeckte weitere Sicherheitslücken in der Orion-Plattform und den SolarWinds FTP Serv-U-Systemen für Windows-Umgebungen. Diese drei Sicherheitslücken wurden bereits behoben.

Wie der Angriff geplant und durchgeführt wurde

Angriffe auf die Supply Chain zerstören einen bestimmten Prozess und verbreiten Probleme über eine ganze Industrie hinweg, beispielsweise den Finanzsektor, den Handel oder die Regierung. Im Fall von SolarWinds richtete sich der Angriff auf die Supply Chain der Software und deren Update-Build-Prozess.

Die Hacker bauten die Malware (SUNSPOT) in die SolarWinds Entwicklungsumgebung ein, um durch eine Hintertür (SUNBURST) in die Builds der Orion-Plattform zu gelangen, ohne einen Verdacht zu wecken. SUNSPOT überwachte die Prozesse im Zusammenhang mit Orion-Builds und ersetzte Quelldateien, um den SUNBURST Code einzufügen. Mehrere Schutzmechanismen in SUNSPOT verhinderten Fehler im Build-Prozess, die Entwickler auf die Hacker hätten aufmerksam machen können.

So konnten die Hacker verfälschte Orion-Updates entwickeln. Schätzungsweise 18.000 Orion-Benutzer luden diese Dateien unter Annahme deren Echtheit herunter. Nach der Installation öffneten die Dateien die Tür für weitere Angriffe und kriminelle Aktivitäten wie Spionage und den Diebstahl von Staatsgeheimnissen. Nach Angaben der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) befanden sich bis Anfang Januar 2021 weniger als zehn Bundesbehörden in dieser Situation.

In einer CISA Notfalldirektive wurde gewarnt, dass Bundesbehörden sämtliche SolarWinds Orion-Systeme und -Server als gefährdet einstufen und sie daher sofort vom Netz trennen oder herunterfahren sollten, um die Bundesnetzwerke keinen inakzeptablen Risiken auszusetzen.

Bordini hält es für unwahrscheinlich, dass Hacker diese offenen Türen in Unternehmen ausnutzen würden. „Wir sind uns nahezu sicher, dass ihr Ziel ein anderes ist, aber es wird für immer ihr großes Geheimnis bleiben“, so Bordini.

Der Tag danach

Nachdem SolarWinds von FireEye über den Angriff alarmiert wurde, unternahm das Unternehmen Untersuchungen und veröffentlichte innerhalb weniger Tage Hotfixes, um die Schwachstellen der Orion-Plattform zu beheben. Im Januar 2021 kündigte das Unternehmen zudem einen Plan an, sowohl das Unternehmen als auch die Kundengemeinschaft besser abzusichern.

Die Installation von Hotfixes ist jedoch nicht gleichbedeutend mit vollständiger Sicherheit für die Benutzer von Orion. Es handelt sich dabei um einen notwendigen, aber nicht ausreichenden Schritt. Es ist nicht im Detail bekannt, wie die Hacker während des aktiven Angriffes vorgegangen sind, doch sie agierten im Dunkeln. Ebenfalls ist nicht bekannt, ob und wie die Angreifer weiterhin durch mögliche Hintertüren agieren, wodurch der Umfang ihrer Aktivitäten sich erweitert haben und auch diejenigen erreicht haben könnte, die keine Orion-Benutzer sind.

Experten für Cybersicherheit bekräftigen, dass die Spione vermutlich weiterhin in den verletzten Netzwerken aktiv sind. Es ist wahrscheinlich, dass die Hacker die Microsoft Active Directory Federation Services in den gehackten Umgebungen durch digitale Identitätsdokumente, sogenannte „SAML-Token“, manipuliert haben. Diese authentifizierten Token ermöglichen es Benutzern, sich problemlos von einer Umgebung in eine andere zu bewegen, auch von einem Unternehmen zu einem anderen, beispielsweise zu verschiedenen Cloud-Service-Anbietern. Die Möglichkeit, Token zu manipulieren und sich schnell zu bewegen, ohne allzu leicht entdeckt zu werden, ist ein gefundes Fressen für Hacker. Glücklicherweise können Unternehmen gegen diese Taktik geschützt werden, zum Beispiel indem der Zugang zu Computern durch Token limitiert und die Sicherheit der Verschlüsselungscodes, mit denen die Token erstellt werden, sichergestellt wird.

Nachfolgend finden Sie weitere Empfehlungen nicht nur für Benutzer der SolarWinds Orion-Plattform:

1) Immer überwachen und aufzeichnen Der Angriff auf SolarWinds Orion dauerte Monate und ist möglicherweise noch nicht vorbei. Haben alle betroffenen Organisationen Aufzeichnungen über ihre IT-Aktivitäten in diesem Zeitraum? Viele Empfehlungen beinhalten die Aufgabe, nach Aufzeichnungen zu suchen, um verdächtige Aktionen in Zusammenhang mit dem Hackerangriff zu identifizieren.

2) Berechtigungen im richtigen Maß erteilen Viele Organisationen erteilen Benutzern und Anwendungen mehr Berechtigungen als notwendig, weil es schlichtweg einfacher ist. Allerdings muss das Angriffsrisiko geschmälert werden, indem Berechtigungen für Lieferanten und Partner limitiert werden. Dies ist der notwendige Schutz, um sich vor Supply-Chain-Angriffen zu schützen. Es ist ein guter Ansatz, Accounts mit vielen Berechtigungen zu evaluieren und zu prüfen, ob eine Reduzierung der Befugnisse möglich ist. Die meisten Software-Tools erfordern keine Administrationsrechte, um zu funktionieren.

3) Inventarisierung entscheidender Assets Auf Angriffe zu reagieren ist schwieriger, wenn die Dokumentation kritischer Assets und privilegierter Zugriffe mangelhaft ist. Mit dieser Information können Organisationen prüfen, ob die Assets im Falle eines Angriffs sicher sind, und zusätzliche Maßnahmen ergreifen, um aus den Fängen der Angreifer zu entkommen. Wenn beispielsweise ein Provider einen privilegierten Zugriff auf das Netzwerk benötigt – was durchaus passieren kann – sollten diese Zugriffsrechte dokumentiert werden, um zukünftig bei Verdacht auf einen Angriff wie im Falle von SolarWinds auf die Informationen zurückgreifen zu können.

4) Überprüfung der Signatur Das von der Malware verfälschte Update enthält ein gültiges digitales Zertifikat und wurde von SolarWinds selbst verbreitet. Dies ist ein außergewöhnlicher Aspekt in diesem Fall. Andere Angreifer jedoch verwenden gefälschte Signaturen und verbreiten die Dateien mit Trojanern über ihre eigenen Kanäle. Insofern ist empfehlenswert, die Signatur vor der Installation von Dateien zu überprüfen, zumindest um Unternehmen gegen weniger ausgeklügelte Angriffe zu schützen.

5) Überprüfung der Verträge Verträge von Softwareanbietern sollten spezifische Bestimmungen dazu beinhalten, wie ein Cybersecurity-Problem offengelegt wird, welche Informationen darin enthalten sind und wie mit den potenziellen Konsequenzen umgegangen wird.

Es gibt keine Patentlösung, um zu erkennen, wer für diesen oder einen zukünftigen Cyberangriff anfällig ist. Jeder – ob Softwarehersteller oder -anwender – kann betroffen sein. Das gehört zu Zeiten der ständigen Vernetzung mit dazu. Doch genau wie im echten Leben außerhalb des Netzwerks, kann man nie genug Prävention und Vorsicht walten lassen.


Was ist ein Supply-Chain-Angriff?

Im Allgemeinen bezieht sich der Begriff „Supply Chain“ auf die Gruppe von Personen und Unternehmen, die an einer prozessualen Aktivität oder Lieferkette beteiligt sind. Im Falle von Cyberangriffen bietet die große Anzahl an Variablen zahlreiche Möglichkeiten für Hacker, in Unternehmen, Netzwerke oder Infrastrukturen einzudringen. Durch diese Vielzahl an Elementen entfällt außerdem die alleinige Verantwortung für den Schutz der gesamten Kette – nicht ein Akteur alleine, sondern alle Akteure müssen die Verantwortung tragen, um einen wirksamen Schutz zu erzielen. Doch auch wenn die meisten über strenge Sicherheitsmechanismen verfügen, können durch eine einzelne Schwachstelle alle ins Fadenkreuz eines Angriffes auf die Supply Chain geraten.


Zeitachse

SolarWinds