Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune

Noch ein kleiner Nachtrag zum SolarWinds-Hack, bei dem zehntausende Systeme durch SolarWinds-Software-Updates kompromittiert wurden. Microsoft hat die Untersuchung zu Solarigate, wie die Operation genannt wird, abgeschlossen. Man glaubt, um die digitalen Fingerabdrücke von um die Tausend verschiedene Hacker beobachtet zu haben. Zudem wurde bestätigt, dass die Hacker Teile des Quellcodes von Azure, Exchange und Intune einsehen konnten.


Anzeige

Zum Sachverhalt

Seit Monaten sind zahlreiche US-Behörden und Ministerien sowie Firmen weltweit durch eine Hintertür gehackt und Angreifern ist es gelungen, zahlreiche Dokumente abzuziehen. In den Beiträgen US-Finanzministerium und weitere US-Behörde gehackt und FireEye: Wenn Hacker eine Sicherheitsfirma plündern hatte ich erstmals über diese Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Behörden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen. Weitere Artikel finden sich am Ende des Beitrags verlinkt.

Es ist eine riesige Spionage-Aktion, die, wegen der Raffinesse und des Aufwands staatsnahen Hackern zugeschrieben wird. Denn den Angreifern ist es gelungen, Updates für eine breit im Einsatz befindliche Netzwerk-Überwachungssoftware (SolarWinds Orion) durch einen SUNBURST genannten Trojaner zu verseuchen. Ich hatte in den am Artikelende verlinkten Beiträgen ausführlich berichtet.

Dass ein Angriff auf die Lieferkette oft trivial ist, haben Sicherheitsforscher kürzlich demonstriert. Dazu luden Sie schlicht Malware in Open-Source-Repositories wie PyPI, npm und RubyGems. Auf diese Weise wurde die Malware dann automatisch in die internen Anwendungen des Unternehmens verteilt – trivialer geht's (n)immer. Dem Sicherheitsforscher ist es so gelungen, in die internen Systeme von mehr als 35 großen Unternehmen, darunter Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla und Uber einzudringen. Die Kollegen von Bleeping Computer haben einen Artikel mit mehr Details veröffentlicht.

Und dann gibt es noch die schmutzigen Geheimnisse der Cyber-Armeen diverser Länder. Kürzlich bin ich bei Wired auf diesen Artikel gestoßen, der einige Geheimnisse von 0-day-Brokern beleuchtet, die über Jahre im Verborgenen gute Geschäfte machen konnten.

Der Fall hat nach meiner Wahrnehmung eine neue Dimension angenommen und dürfte die US-IT-Landschaft im Markt erschüttern. Gewissheiten der Art "wir sind die besten, wir sind sicher, uns kann niemand was" sind da gerade über den Jordan gegangen. Wired schreibt hier, dass Experten die USA schlecht bei der Abwehr von Supply-Chain-Angriffen, wie es hier der Fall war, aufgestellt sehen. Und in diesem Artikel schreibt Wired, dass Russlands SolarWinds-Hack ein historisches Chaos angerichtet habe.

Microsoft geht von 1.000 Hackern aus

Brad Smith, Präsident von Microsoft, sagte, dass eine interne Analyse zum SolarWinds-Hack darauf hindeutet, dass der Code hinter dem Crack die Arbeit von tausend oder mehr Entwicklern war. In der US-Nachrichtensendung "60 Minutes" bezeichnete Smith den Angriff als "den größten und raffiniertesten Angriff, den die Welt je gesehen hat" – was aber von einigen Sicherheitsforschern anders gesehen wird. In diesem Artikel wird Smith aus dem Interview folgendermaßen zitiert.

Als wir alles analysiert haben, was wir bei Microsoft gesehen haben, haben wir uns gefragt, wie viele Ingenieure wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir gekommen sind, war, na ja, sicherlich mehr als 1.000.

Was wir hier sehen, ist die erste Anwendung dieser Taktik zur Unterbrechung der Lieferkette gegen die Vereinigten Staaten. Aber es ist nicht das erste Mal, dass wir so etwas erleben. Die russische Regierung hat diese Taktik in der Ukraine wirklich entwickelt.

Smith sagte nicht, für wen diese 1.000 Entwickler arbeiteten, oft führt dies zu "Irritationen" und mit absoluter Sicherheit lassen sich solche Operationen selten zuordnen. Die Kollegen von heise haben in diesem Artikel die Herausforderungen der Tätersuche nachgezeichnet. Smith verglich aber den SolarWinds-Hack mit Angriffen auf die Ukraine, die vor Jahren stattfanden. Diese Angriffe werden weithin Russland zugeschrieben (das eine Beteiligung bestreitet). Die Kollegen von heise haben diesen deutschsprachigen Beitrag zum Thema veröffentlicht. Und kürzlich glaubten Sicherheitsforscher eine bestimmte Malware einer chinesischen Hackergruppe zuordnen zu können, wie man hier lesen kann. Ist aber alles immer ein operieren mit Wahrscheinlichkeiten.

Hacker greifen auf Microsofts Quellcode zu

Ich hatte ja bereits im Blog-Beitrag SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode berichtet, dass Microsoft eingestehen musste, dass die Solarigate-Angreifer auch Zugriff auf Teile des Quellcodes von Microsoft-Produkten hatten. Nun ist klar, dass die Quellcodes von Azure, Exchange und Intune eingesehen wurden. Nachfolgender Tweet weist auf diesen Sachverhalt hin.


Anzeige

Microsoft hat die Details in einem finalen Abschlussbericht mit dem Titel Microsoft Internal Solorigate Investigation – Final Update veröffentlicht. Interessant ist, dass die Zugriffsversuche noch Anfang Januar 2021 stattfanden, nachdem die gesamte Operation öffentlich längst bekannt war. Microsoft schreibt: Es gab keinen Fall, in dem auf alle Repositories zu einem einzelnen Produkt oder Dienst zugegriffen wurde. Es gab keinen Zugriff auf die große Mehrheit des Quellcodes. Bei fast allen Code-Repositories, auf die zugegriffen wurde, wurden nur wenige einzelne Dateien als Ergebnis einer Repository-Suche angezeigt.

Auf eine kleine Anzahl von Repositories wurde zusätzlich zugegriffen, in einigen Fällen auch durch das Herunterladen von Komponenten-Quellcode. Diese Repositories enthielten Code für:

  • eine kleine Teilmenge von Azure-Komponenten (Teilmengen von Dienst, Sicherheit, Identität)
  • eine kleine Untergruppe von Intune-Komponenten
  • eine kleine Teilmenge von Exchange-Komponenten

Die Auswertung der von den Angreifern verwendeten Suchbegriffe bestätigten, dass die Hacker erwartungsgemäß darauf aus waren, Geheimnisse wie feste Kennwörter oder Backdoors im Quellcode zu finden. Microsofts Entwicklungsrichtlinie verbieten aber, solche Geheimnisse im Quellcode zu hinterlegen. Microsoft lässt auch automatisierte Tools laufen, um die Einhaltung dieser Vorgaben zu überprüfen. Aufgrund der entdeckten Aktivität haben die Forensiker bei Microsoft sofort einen Überprüfungsprozess für aktuelle und historische Zweige der Repositories eingeleitet. Es wurde dann festgestellt, dass die Repositories der internen Richtlinie entsprachen und keine produktiven Anmeldedaten enthielten.

Insgesamt liest sich das so, als ob Microsoft mit einem blauen Auge davon gekommen sei. Aber der Fall zeigt, wie wackelig das ganze Geschäft der Software-Entwicklung sowie der Betrieb von IT-Systemen geworden ist. Wenn Firmen wie Microsoft schon geknackt werden, wie sollen da KMUs aus der Nachbarschaft mit fehlender IT diese Aufgabe bewältigen. Wenn ich so die Sicherheitsvorfälle der letzten Jahre betrachte, beschleicht mich das Gefühl, dass wir auf ein Amaggedon der IT zu schlittern – oder wie seht ihr das?

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune

  1. Robert sagt:

    Den Eindruck, wir bewegen uns auf ein Amaggedon der IT zu teile ich. Nachdem uns die Altlasten in Rechnern/Servern in den letzten Jahren um die Ohren fliegen zeigen sich nun auch die Schwächen und Komplexitäten der verschiedensten Netzwerke, Protokolle etc., die den Einsatz von Tools von Solarwinds erfordern.
    Es wirkt allerdings, als schauten sie mit Google Earth und wundern sich, dass ihnen Lackschäden an Fahrzeugen entgehen. Ob nun zwanzig oder nur zehn Matratzen (Layer) zwischen der Erbse (Assembler) und der Prinzessin (Tools/Programmen) liegen: Dazwischen werden wohl immer ein paar Zeilen Code reinpassen, die unerkannt bleiben.

  2. 1ST1 sagt:

    Es stimmt schon, die IT-Gebilde werden immer komplexer, noch mehr mit einander vernetzt, usw. Das ist alles eigentlich nicht mehr beherrrschbar, und je mehr Köche in dem Brei rumrühren, um so schlimmer wird es. Und wenn man es nicht mehr beherrscht, wird noch ein System drauf gesetzt, um es zu beherrschen und in Wirklichkeit macht man das System dadurch noch komplexer und letztendlich unbehrrschbarer. Absolute Sicherheit gibts daher nicht. Man kann nur versuchen, es der Gegenseite so schwer zu machen, wie möglich. Aber oftmals wurden selbst einfache Hausaufgaben nicht gemacht.

    • Anonymous sagt:

      Die Geschichte mit der Komplexität ist meiner Meinung nach tatsächlich ein großes Problem. Selbst in einem kleinem Unternehmen mit 20 Arbeitsplätzen hat man heute schon mehrere SQL-Instanzen am Laufen. Ich habe mich aber auch schon oft dabei erwischt eine Schwachstelle oder Komplexität durch noch mehr Komplexität lösen zu wollen.

      Sicherheit und Komfort sind, meiner Meinung nach, zwei Dinge die entgegengesetzt auf der gleichen Skala liegen. Da muss jeder den für sich richtigen Punkt finden.

  3. Ärgere das Böse! sagt:

    Ich sehe es so, dass man E-Voting auf keinen Fall einführen darf. Unter E-Voting verstehe ich abstimmen und wählen in einer Demokratie.

  4. Gerold sagt:

    SolarWinds-Hack: US-Senator greift nachlässiges Microsoft hart an
    https://winfuture.de/news,121442.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.