So ganz langsam kommt Licht ins Dunkel des sogenannten SolarWinds-Hacks durch mutmaßlich russische Angreifer. War erst von um die sechs Behörden in Deutschland als Opfer des SolarBurst-Hacks die Rede, geht man jetzt von 300 erfolgreich angegriffenen deutschen Zielen aus. Immerhin gibt es jetzt von 300 Angeschriebenen eine Rückmeldung von 13 Stellen. Zudem habe ich mal eine Information zu einem Scanner, um Aktivitäten der SolarBurst-Hacker in Verbindung mit der SolarWinds-Backdoor aufzuspüren.
Anzeige
Der Hack und die Folgen
Es ist gefühlt schon wieder Lichtjahre her, als der Solarigate-Vorfall die Gemüter der IT-Welt bewegte. Mutmaßlich russischen Staatshackern ist es gelungen, die Orion-Software des US-Herstellers SolarWinds zu kompromittieren. Anschließend wurde der Trojaner samt Backdoor durch ein von SolarWinds ausgerollte Updates in Zehntausende Rechner einschleusen. Dadurch wurden in Behörden, Organisationen und Firmen über die SUNBURST-Schwachstelle angreifbar. Zudem gelang es weiteren Angreifern über nicht geschlossene Schwachstellen in die Netzwerke der SolarWinds-Kunden einzudringen und die IT-Infrastruktur auszuspähen.
Die Netzwerk- und Sicherheitsprodukte von SolarWinds werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbehörden und Bildungseinrichtungen. SolarWinds beliefert außerdem die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs und andere prominente Regierungsorganisationen wie das Pentagon, das Außenministerium, die NASA, die Nationale Sicherheitsbehörde (NSA), die Post, die NOAA, das Justizministerium und das Büro des Präsidenten der Vereinigten Staaten.
In den USA wurden hunderte Behörden und große Firmen Opfer des Massenhacks – die Aufarbeitung läuft noch immer (siehe auch die Artikel am Beitragsende). Vom BSI hieß es, dass in Deutschland mutmaßlich nur sechs Behörden im Fokus der Hacker gestanden hätten. Ein Trugschluss, wie sich jetzt herausstellt.
Um die 300 deutsche Ziele
Der Grünenabgeordneten Konstantin von Notz hatte eine Kleine Anfrage an die deutsche Bundesregierung gestellt und bekam Antwort. Von Notz hat diese Informationen dem Spiegel zur Einsicht vorgelegt. Die deutsche Bundesregierung nennt zwar keine Namen, geht aber davon aus, dass rund 300 Stellen in Deutschland von der Attacke betroffen sein könnten. Es handelt sich um Kunden von SolarWinds, die auf ihren IT-Systemen die Orion-Software installiert hatten. Die Liste wurde den Deutschen aus den USA übermittelt.
Anzeige
Das BSI und die deutsche Bräsigkeit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte alle deutschen Betroffenen am 11. Februar 2021 über diese Erkenntnis – sprich: Dass auf den betreffenden Systemen eine Hintertür existiert. Über diese können Hacker in den IT-Systemen dieser Stellen ein- und ausgehen und bei Bedarf auch Daten abgreifen oder weitere Schadsoftware installieren.
Interessant ist daher, ob auch wirklich Zugriffe auf die IT-Systeme unter Ausnutzung der Backdoor vorgekommen wurden. Lässt sich mit Zugriffsprotokollen feststellen. Problem ist der "gesehen, gelacht, gelocht und abgeheftet"-Effekt in bräsigen deutschen Behörden und Großunternehmen. Von den 300 explizit Informierten haben sich sagenhafte 13 Stellen beim BSI zurückgemeldet, so die Antwort der Bundesregierung. Alle Rückmeldenden konnten Entwarnung geben, weil sie nicht über die vorhandene Backdoor attackiert worden sind.
Die Bundesregierung hat das wohl im Bundeskanzleramt thematisiert. Aber so richtig erfährt man nicht, ob überhaupt etwas passierte – Beamten-Mikado: Wer zuerst zuckt, hat verloren. Möglicherweise steckt den Entscheidungsträgern ja noch der Exchange-Schock in den Knochen, oder sie wühlen sich aktuell durch die Verträge, um endlich auf Microsoft 365 migrieren zu können. Konstantin von Notz kritisiert:
Angesichts dieser beiden verheerenden IT-Sicherheitsvorfälle innerhalb kürzester Zeit müssen eigentlich alle Alarmlampen der Bundesregierung an sein. Stattdessen taucht Horst Seehofer komplett ab und dokumentiert damit, dass eines der wichtigsten sicherheitspolitischen Themen unserer Zeit bei ihm in extrem schlechten Händen ist.
Gut, einerseits ist (Q)Wahlkampf – und Hotte Seehofer muss nur noch ein paar Tage "auf Rente" überstehen. Dann werden die Karten eh neu gemischt. Je nach im September gewählter Konstellation bekommt dann die "Taskforce Antigentest", die ja aus agilen jungen Politikern wie Scheuer und Spahn besteht, einen neuen Verwendungszweck. Ok, war jetzt unfaire Dialektik, hab mich als Corona-Impf-Erwartender dazu hinreißen lassen. Jedenfalls ist der Wunsch des Grünen-Politikers von Notz nach mehr Aufklärung für mich mehr als berechtigt. Die Regierung habe auf zahlreiche seiner Fragen – darunter auch die, was im Kanzleramt zu dem Vorfall besprochen wurde – eine substanzielle Antwort verweigert, bemängelt der Grünenpolitiker gegenüber dem Spiegel.
Die gute Nachricht des Tages: Den Informationen des Spiegels nach laufen in Deutschland mehrere Ermittlungsverfahren wegen des Hacking-Angriffs. Sowohl bei den Cybercrime-Experten der Zentralstelle zur Bekämpfung der Internetkriminalität in Frankfurt am Main als auch bei weiteren Staatsanwaltschaften auf Länderebene würden Ermittlungen geführt – sagt die Bundesregierung – und die muss es ja wissen.
CISA veröffentlicht SolarWinds Detection-Tool
Zum Abschluss noch eine Information für Administratoren, in deren Verantwortungsbereich Orion-Systeme von Solarwinds fallen. So etwas, was mehr Hand und Fuß hat: Die US Cybersecurity and Infrastructure Security Agency (CISA) hat ein Tool mit dem Namen CISA Hunt and Incident Response Program (CHIRP) veröffentlicht. CHIRP ist ein Python-basiertes forensisches Sammeltool, welches bösartige Aktivitäten nach der Kompromittierung in Verbindung mit den SolarWinds-Hackern in On-Premises-Unternehmensumgebungen aufspüren kann.
Die Kollegen von Bleeping Computer haben vorige Woche in diesem Artikel weitere Details zu diesem Tool veröffentlicht. Diese führt nach dem Start folgende Operationen durch:
- Untersuchen der Windows-Ereignisprotokolle auf Artefakte, die mit der Solarigate Aktivität in Verbindung stehen;
- Untersuchen der Windows-Registrierung auf Anzeichen eines Eindringens;
- Abfrage von Windows-Netzwerk-Artefakten;
- und Anwendung von YARA-Regeln zur Erkennung von Malware, Backdoors oder Implantaten.
CHIRP erzeugt JSON-formatierte Daten zur weiteren Analyse in einem SIEM oder ähnlichen Tools. Vielleicht hilft es euch bei der Überwachung der IT-Infrastruktur ja weiter.
Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
Anzeige
>> Das BSI und die deutsche Bräsigkeit
>> Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte
>> alle deutschen Betroffenen am 11. Februar 2021 über diese Erkenntnis –
>> sprich: Dass auf den betreffenden Systemen eine Hintertür existiert.
Das sind allerdings wohl nur die Primärbetroffenen (i.d.R. juristische Personen) – mal sehen, ob und wann die Sekundärbetroffenen (natürliche Personen wie Endkunden, Antragsteller bei Behörden usw.) die Information bekommen, dass ihre Daten jetzt wahrscheinlich irgendwo zum Verkauf stehen.
>> Von den 300 explizit Informierten haben sich sagenhafte 13 Stellen
>> beim BSI zurückgemeldet, so die Antwort der Bundesregierung.
>> Alle Rückmeldenden konnten Entwarnung geben, weil sie nicht über
>> die vorhandene Backdoor attackiert worden sind.
Wenn 13 Primärbetroffene zügig grünes Licht ("nix passiert") geben (ich gehe mal davon aus, dass diese Antworten qualifiziert sind), heißt das im Umkehrschluss, dass 287 NICHT in der Lage sind, eine schnelle Antwort zu geben (oder diese zu peinlich ist) – es ist ein Trauerspiel und ich sehe auch nicht, dass in "Schland" genug Druck aufgebaut wird, um die Sachlage zu klären. Wie war das noch: um ein Problem lösen zu können, muss man es erst mal (er)kennen (wollen).
Naja, aus der Tatsache, dass sich 287 nicht gemeldet haben automatisch zu schließen, die wären alle von dem Hack betroffen ist nun auch etwas zu kurz gedacht. Aber egal….
>> automatisch zu schließen, die wären alle von dem Hack
>> betroffen ist nun auch etwas zu kurz gedacht.
Habe ich auch nicht behauptet – meine Aussage war:
>> heißt das im Umkehrschluss, dass 287 NICHT in der Lage
>> sind, eine schnelle Antwort (1) zu geben (oder diese zu
>> peinlich ist)
(1) gemeint: auf die Anfrage des BSI
WlkikiV ;o)
Dieses CisaTool ist schön und gut, aber deutlich zu spät, denn auf den Windows-Servern sind diese Ereignisse sicher schon aus dem Event-Log rausgelaufen, so lange werden die ja von den Servern selbst nicht aufgehoben. Da muss man schon einen Syslogserver/SIEM oder gar ein AD-Audit-Tool haben, um jetzt noch was auszuwerten. Sowas ist längst noch nicht Standard in allen (größeren) Betrieben. Wer die Orion-Software einsetzt, hat in den vergangenen 3 Monaten sicher schon reagiert Ich habe tatsächlich einen Bekannten, in dessen Firma die Software letztes Jahr neu eingeführt wurde, und da lief tatsächlich die infizierte Version. Wie ich erzählt bekommen habe, wurde das System sofort herunter gefahren, als die Sache in ihrer Tragweite bekannt und verstanden wurde, und es wurde ein Forensiker engagiert, der die ganze Landschaft untersucht hat. Resultat war, kein Einbruch, aber Folgeauftrag, um die ganze Landschaft mal auf neuesten Sicherheitsstandard zu bringen, noch nicht abgeschlossen weil wohl sehr viel geradezuziehen ist und mein Bekannter ist ganz schön am Schimpfen, weil er diese ganzen Sachen so noch nie gemacht hat. Aber hab ich ihm gesagt, da muss er (und seine Kollegen) durch…
Und dann wäre da noch ein für Jedermann herunterladbarer Exchange-Poc, auf Github, mal sehen wie lange der da bleibt…
https://www.kitploit.com/2021/03/proxylogon-poc-exploit-for-microsoft.html
Das hier passt auch noch dazu, vielleicht hängt beides zusammen… https://www.zdnet.com/article/microsoft-exchange-server-attacks-theyre-being-hacked-faster-than-we-can-count-says-security-company/