SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?

[English]Es kommen immer mehr Details zum SolarWinds-Hack ans Tageslicht und es tauchen mehr und mehr Fragen auf. Es gibt eine große Zahl Betroffener, so dass sich die Frage nach den Zielen der Angreifer stellt. Zudem wird die Frage lauter, warum die Frühwarnsysteme der USA nicht anschlugen und es wird geprüft, ob ein Outsourcing an SolarWinds-Dependanzen in Osteuropa den Angriff erst ermöglichte.


Anzeige

Der SolarWinds-Hack trifft die USA und deren Administration ins Mark. Mutmaßlich staatlichen Angreifern war es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Das Ganze wurden dann als digital signiertes Update an alle Nutzer der SolarWinds Orion-Software verteilt. Die Hacker konnten über viele Monate unbemerkt auf die Systeme der Opfer zugreifen und sich dort festsetzen. Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen).

Warnsystem schlägt nicht an

Die Hacker konnten sich vermutlich sei 9 Monaten (möglicherweise sogar länger) unbemerkt in den kompromittierten Systemen umsehen. Nur einem aufmerksamen Mitarbeiter der ebenfalls gehackten Sicherheitsfirma FireEye ist es zu verdanken, dass mal genauer hingeschaut wurde. Denn dieser klickte eine Warnung, dass jemand sich mit seinem Konto angemeldet habe, nicht einfach weg, sondern schlug Alarm und stieß so eine Analyse des Sachverhalts an. An deren Ende war klar, dass der Sicherheitsanbieter FireEye über die SolarWinds Orion-Software gehackt worden war und die Angreifer Red Team-Tools entwenden konnten (siehe FireEye: Wenn Hacker eine Sicherheitsfirma plündern).

Die US-Behörden brüsteten sich damit, eine Früherkennungssoftware zur Überwachung solcher Angriffe zu haben. Und die Systeme der Opfer waren eigentlich genügend instrumentiert, um Hackerangriffe zu erkennen. Ich hatte bereits im Blog-Beitrag SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch‘ und der Einstein-Überwachungsflopp darauf hin gewiesen, dass die Überwachungssoftware EINSTEIN bezüglich des SolarWinds-Hacks ‚blind‘ gewesen sei. Inzwischen wird diese Frage in den USA, warum man nichts bemerkt hat, immer dringlicher gestellt. Immerhin fand der Hack sowie die Infektion der Software-Systeme Monate vorher statt. Eine mögliche Erklärung: Die Furcht vor einiger Manipulation der US-Wahlcomputer zur Präsidentenwahl könnte die Aufmerksamkeit von diesem Hack abgelenkt haben. Allerdings fürchte ich, dass dies ‚Pfeifen im Wald‘ ist, denn vieles ist in der IT sicherheitstechnisch schlicht kaputt.

Einfallstor osteuropäische Entwickler?

Inzwischen gräbt man tiefer und die Amerikaner bzw. auch die Anwender der Orion-Software müssen sich weitere unangenehme Fragen stellen. The New York Times greift in diesem Artikel folgende Punkte auf.

  • SolarWinds ist bereits in der Vergangenheit durch mangelnde Sicherheitsmaßnahmen für seine Produkte aufgefallen. Dies habe das Unternehmen zu einem leichten Ziel für Supply-Chain-Attacken gemacht, so aktuelle und ehemalige Mitarbeiter sowie Ermittler der US-Regierung. Der Geschäftsführer Kevin B. Thompson, der seinen Job nach 11 Jahren verlässt, wich der Frage aus, ob sein Unternehmen das Eindringen hätte erkennen müssen. Ich hatte ja im Artikel Schlamperei bei SolarWinds für kompromittierte Software verantwortlich? einen solchen Fall thematisiert.
  • SolarWinds ist zwar ein US-Hersteller, aber die Software-Entwicklung erfolgt international. Ein Teil der kompromittierten SolarWinds-Software wurde, laut The New York Time in Osteuropa entwickelt. Amerikanische Ermittler untersuchen nun, ob der Angriff auf den Quellcode der Orion-Software, die in der Implementierung einer Backdoor mündete, von diesen osteuropäischen Entwicklungsstudios ausging. Der Verdacht besteht, da dort russische Geheimdienstmitarbeiter tief verwurzelt sind.

Ich schätze, dass jetzt viele Entwicklungsmodelle auf den Prüfstand müssen. Vor Jahren hat die US-Administration den russischen Antivirus-Anbieter Kaspersky wegen Sicherheitsbedenken aus ihren Behörden verbannt. Jetzt erfährt die US-Öffentlichkeit, dass die eigenen Software-Klitschen die Entwicklung in den Einflussbereich Russlands, dessen Geheimdienst für die Aktion verantwortlich ist, ausgelagert haben und auch sonst ziemlich sorglos in Sachen Sicherheit agierten. Wer hier Spuren von Schadenfreude findet, darf die behalten.

Schaden gewaltig, Opferzahl wird größer

Sowohl dieser Artikel der The New York Times als auch dieser Beitrag vom Bloomberg greift zwei weitere Aspekte auf. SolarWinds gibt 18.000 potentiell von der SOLARBURST genannten Backdoor betroffene Kunden an. Inzwischen ist aber bekannt, dass die Zahl der aktiv ausgeforschten Unternehmen und Institutionen geringer ist.

Im Artikel Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt hatte ich einige Opfer genannt – der Wallstreet Journal-Artikel hier gibt einen weiteren Überblick. Inzwischen wurde zudem bekannt, dass bei einigen Opfern eine weitere Backdoor gefunden wurde (siehe SolarWinds-Systeme mit 2. Backdoor gefunden und diesen Artikel). Es deutet darauf hin, dass eine weitere Hackergruppe auf diesem Feld aktiv ist.

In den beiden oben verlinkten Artikeln heißt es, dass nach bisherigen Analysen ungefähr 200 US-Behörden und -Firmen wohl gezielt Opfer dieser Hacker-Aktion geworden seien. Allerdings gibt es wohl jeden Tag neue Erkenntnisse, so dass sich die Zahl noch ändern kann.


Anzeige

Was mich aktuell auch ziemlich hibbelig werden lässt: Von SolarWinds und dem US-CERT gibt es Sicherheitshinweise, was jetzt zu patchen sei, um die Angreifer auszusperren. Jedem infizierten Computernutzer verklickern wir, dass ein System kompromittiert sei und niemand wissen kann, ob alle Spuren der Infektion durch Virenscanner beseitigt wurden. Es wird eine Neuinstallation vorgegeben. Bei den SolarWinds-Sicherheitshinweisen heißt es schlicht ‚mit der und der Version der Software wird die Backdoor beseitigt‘. Dass die Angreifer längt andere Wege gefunden haben, sich auf in den betreffenden IT-Netzwerken festzusetzen, fällt unter den Tisch.

Was war das Ziel?

US-Offizielle, darunter der scheidende Generalstaatsanwalt William Barr, sowie Cybersecurity-Experten haben Russland als den wahrscheinlichsten Täter ausgemacht; einige Experten vermuten, dass der Angriff die Handschrift der russischen Hackergruppe APT 29 trägt, die auch als Cozy Bear bekannt ist. Bloomberg schreibt, dass der Umstand, dass die Hacker Zugang zu den E-Mail-Konten von hochrangigen US-Regierungsbeamten hatten, die Theorie stützt, dass die mutmaßliche russische Hacker eine massive Spionageoperation gefahren haben.

Am Montag lieferte Senator Ron Wyden, Demokrat aus Oregon und ranghöchstes Mitglied des Finanzausschusses des Senats, laut US-Medien den bisher zwingendsten Beweis für die Spionagetheorie. Nach einer Information durch Mitarbeiter des Finanzministeriums sagte Wyden, dass die Hacker Zugang zu den E-Mail-Konten der ranghöchsten Beamten des Ministeriums erlangt hätten. Das US-Finanzministerium hat aber aber immer noch keine vollständige Aufstellung darüber, was die Hacker genau in deren IT-Systemen gemacht haben.

Laut das Wall Street Journal gelang den Hacker auch der Zugriff auf etwa drei Dutzend E-Mail-Konten bei der National Telecommunications and Information Administration des Handelsministeriums. Betroffen waren die E-Mail-Konten von hochrangigen Führungskräften. Das weckt Spekulationen über den Sinn und Zweck der gesamten Aktion. Im  The New York Times Beitrag wird spekuliert, dass das Ziel ‚das Zerstören des Vertrauens in die US-IT-Landschaft und deren Sicherheit‘ gewesen sein können.

Wenn dem so wäre, würde ich das spontan als etwas sehr positives einstufen – denn die Bigotterie der Amerikaner in dieser Hinsicht geht einfach auf keine Kuhhaut – und einen richtigen Schlag vor den Latz könnte vielleicht einiges wieder auf das richtige Maß zurückstutzen.

Da die neue Regierung in drei Wochen ihr Amt antritt, vermuten einige Analysten, dass die Russen möglicherweise versuchen, das Vertrauen Washingtons in die Sicherheit seiner Kommunikation zu erschüttern und ihr Cyberarsenal zu demonstrieren. Hintergrund wäre, ein Druckmittel gegen den designierten Präsidenten Joseph R. Biden Jr. vor den Atomwaffengesprächen in der Hand zu haben.

Frank Cilluffo, Direktor des McCrary Institute for Cyber and Critical Infrastructure Security an der Auburn University und Berater des Heimatschutzministeriums, wird von US-Medien zitiert, dass es einfach noch zu früh sei, um sicher zu wissen, worauf die Hacker aus waren. Das gelte auch, wenn es zunächst wie ein „massiver Geheimdienst-Coup“ aussehe.“Das bedeutet nicht zwangsläufig, dass sie diese Stützpfeiler nicht für weitere störende Aktionen in der Zukunft nutzen können“, wird Cilluffo zitiert. „Es ist schwer zu wissen, bis die Schadensbeurteilung abgeschlossen ist.“

Der Fall wird uns noch einige Zeit beschäftigen und ich schätze, dass wir täglich neue Erkenntnisse bekommen. Details sind den Artikeln der The New York Times und von Bloomberg zu entnehmen. Die Kollegen von Golem haben zudem einiges in diesem deutschsprachigen Beitrag aufbereitet. Einige interessante Gedanken finden sich auch in diesem Artikel. Dort wird der Finger in die Wunde gelegt, dass Private Equity-Finanzierung, wie bei SolarWinds und Monopole a la Microsoft erst die Basis für solche Hacks, wie man sie jetzt erlebte, gelegt hätten. Spannende Geschichte, dieser SolarWinds-Hack und ein dankbares Betätigungsfeld für Blogger und Journalisten.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch‘ und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Hack, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?

  1. No sagt:

    Software-Entwicklung in Länder mit „dem letzten Diktator Europas“ out-zu-sourcen ist an Dummheit fast nich mehr zu überbieten.

    • 1ST1 sagt:

      „es wird geprüft, ob ein Outsourcing an SolarWinds-Dependanzen in Osteuropa den Angriff erst ermöglichte.“

      Mir stößt dieser Satz mächtig auf. Sollen wir nun aller Software misstrauen, die in Osteuropa entwickelt wird? Ich weiß übrigens, dass große Teile des VMware ESXi-Hypervisors von einem großen Entwicklungsteam in Bulgarien entwickelt wird.

      • Günter Born sagt:

        Beklage dich bei denen, die die Untersuchung angestoßen haben und bei SolarWinds, deren Sicherheitskonzept diesen Vorfall nicht verhindern konnte. Der Blog hier ist deutlich der falsche Adressat.

        BTW: Eine solche Prüfung ist im Übrigen immer sinnvoll. Gehört imho zum Standard.

  2. Anonymous sagt:

    Ich vermute, mit „US Offizielle“ bzw. US officials sind Staatsbeamte gemeint.

    • Günter Born sagt:

      Die offizielle Übersetzung heißt in der Tat ‚Staatsbeamte‘. Da mir aber nicht bekannt ist, dass die USA ein Beamtenwesen wie in Deutschland haben, verwende ich i.d.R. Begriffe wie US-Administration, US-Offizielle, Regierungsmitglieder oder Staatsbedienstete.

  3. No sagt:

    Vor einigen Wochen hatte ich auf den Presse-Spiegel „www.malware.news“ hingewiesen: Diese Seite setzt, falls möglich, einen „Service-Worker“. Welche Daten dabei an die Webseite übermittlet werden, kann ich nicht feststellen. (wäre aber interessant)

    Anzeige: Chrome;//service-worker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.