SolarWinds SUNBURST – Massiver Cyber-Angriff auf US-Regierung und tausende Unternehmen weltweit

Es liest sich wie das Who-is-Who der amerikanischen Großunternehmen: Cisco, Dow Chemical, Ernst and Young, Ford, Lockheed Martin, MasterCard, Microsoft und viele andere sind betroffen, ebenso die US-amerikanische Energiebehörde, die NASA, das Pentagon, das US Militär und weitere Regierungseinrichtungen. Inwieweit europäische Unternehmen und Regierungen betroffen sind, ist noch nicht bekannt.

Von US-Seite wird geäußert, dass der Angriff aufgrund seiner Komplexität und Reichweite von einer fremden Macht (Russland) ausgeführt wurde, was seitens Russlands umgehend auf Facebook bestritten wurde.

Bereits im März ist es Hackern gelungen, administrativen Zugriff auf die Windows-Serverlandschaft vieler Unternehmen zu erlangen und sich dort dauerhaft einzunisten. Die Hacker haben nicht nur über lange Zeit und in großem Umfang Daten abgezogen „exfiltriert“ sondern es sogar geschafft, System-Accounts zu übernehmen. In einigen Fällen wird es nötig sein, sowohl die Server neu aufzusetzen als auch die eingebundenen Verzeichnisdienste zu bereinigen (d.h. die Accounts im Microsoft Active Directory).

Es scheint der erfolgreichste Hacker-Angriff aller Zeiten zu sein.

Betroffen sind Microsoft Windows Server-Systeme, bei denen die weitverbreitete Server-Management-Software SolarWinds Orion im Einsatz ist. Die Software wird zur Orchestrierung ganzer IT-Landschaften genutzt und benötigt dazu hohe Privilegien (System-Accounts mit weitgehenden Rechten). Auch Cloud-Produkte sind betroffen.

Den Hackern gelang es, ihre Malware in das offizielle Produkt einzuschleusen, so dass die Schadsoftware seit März in SolarWinds Orion enthalten ist und somit auf den betroffenen Systemen über dieselben Zugriffsrechte verfügt.

Entdeckt wurde der Angriff eher zufällig, als bei dem IT-Sicherheitsdienstleister FireEye eine Notification-Nachricht einging, dass sein Account von einem neuen Gerät aus genutzt wurde und der betroffene Mitarbeiter diesem nachging. Wenn  die Hacker nicht die Dreistigkeit besessen hätten, Daten von IT-Sicherheitsdienstleistern direkt abzugreifen, wäre es vermutlich erst nach Monaten aufgefallen – sie wähnten sich sicher.

Die New York Times fragt zu Recht, wozu Milliarden Dollars für die NSA und andere Behörden ausgegeben werden, wenn sie bei der Cyber-Abwehr so kläglich scheitern (das sogenannte EINSTEIN-Projekt soll unter anderem solche Angriffe verhindern).

Wie konnte ein so weitreichender Angriff überhaupt ausgeführt und über 6 Monate unentdeckt bleiben?

Dazu gibt es mehrere Erklärungsansätze.

Der Angriffsvektor war nicht offensichtlich, da die Malware über ein drittes Produkt eingeschleppt wurde (SolarWinds war damit sozusagen das Trojanische Pferd, das den SUNBURST-Trojaner einschleuste). Dass die Software von SolarWinds digital signiert war, führte nicht etwa zu einem besseren Schutz, sondern bot sogar einen besseren Schutz vor einer Entdeckung.

Es wurde bekannt, das bei dem Unternehmen SolarWinds fahrlässig mit Passwörtern umgegangen wurde, z.B. wurde ein Passwort für den zentralen Update-Server auf github eingecheckt und war somit öffentlich einsehbar. Zudem handelte es sich um das recht einfache Passwort „solarwinds123“. Möglicherweise konnten die Hacker darüber ihren Code einschleusen. Offenbar ist weder dem Unternehmen selbst noch den amerikanischen Sicherheitsbehörden aufgefallen, dass fremder Code mit ausgeliefert wurde.

Die Hacker sind sehr clever vorgegangen, die Malware agierte vergleichsweise unauffällig:

  • zunächst verhielt sich die Schadsoftware ruhig, d.h. sie ging in einen „Schläfer-Modus“, sie vermied einige Wochen jegliche Aktivität und insbesondere Datenübertragungen,
  • sie erlangte weitere Privilegien, d.h. sie korrumpierte System-Accounts (dank förderierter Systeme ist dadurch auch ein Zugriff von außen möglich),
  • sie imitiert die Mimik des SolarWinds-Produkts bei ihren Zugriffen und Datenübertragungen und nutzte wechselnde Zielserver aus der jeweiligen Region und weitere Verschleierung der wahren Zielserver (sogenannte IP Obfuskation, ähnlich zu Tor),
  • sie verfügt über einen „Abschaltmechanismus“, der erkennt, ob nach Malware auf einem Server gesucht wird und dann dafür sorgt, dass jegliche Kommunikation eingestellt wird,
  • sie hat die Datenexfiltration nach einem schwer vorhersagbaren und dadurch kaum identifizierbaren Verfahren durchgeführt.

Technisch ein ausgefeiltes mehrstufiges System. Möglicherweise enthält sie auch lernfähige Komponenten, die zu einer autonomen Anpassung führen, sozusagen „Spionage-KI“.

Es muss befürchtet werden, dass über die Schadsoftware dank ihrer weitgehenden Zugriffsrechte weitere Systeme mit anderer Schadsoftware infiziert wurden, die noch als solche erkannt werden muss.

Die US-amerikanische IT-Cyber-Sicherheitsbehörde CISA dokumentiert den Angriff und die empfohlenden Gegenmaßnahmen sehr gründlich. Sie empfehlen folgendes Vorgehen durch qualifizierte Experten:

  • Prüfen ob eine bestimmte ausführbare Datei auf den Server eingespielt wurde (eine Windows-Systembibliothek),
  • Prüfen ob verdächtiger Traffic ausgeführt wurde (idealerweise aus Log-Files rekonstruieren),
  • Sofern keine Anzeichen für Aktivitäten gefunden werden, scheint die Malware noch nicht aktiv gewesen zu sein und ein bereinigendes Update soll genügen
  • Wenn der Befund jedoch positiv ist, wird eine IT-forensische Analyse nötig, z.B. ob mit privilegierten Accounts andere als die sonst üblichen Zugriffe erfolgten (abweichendes Nutzerverhalten ist ein Indiz für Missbrauch).
  • In kritischen Fällen wird empfohlen, die betroffenen Server offline zu nehmen, vollständig neu aufzusetzen und zudem die Account-Verzeichnisse gründlich zu bereinigen.

Beides -sowohl Neuinstallationen als auch Verzeichnisbereinigungen- sind aufwändige und fehleranfällige Prozesse, bei denen sichergestellt werden sollte, dass die Schadsoftware nicht wie ein Chamäleon getarnt weitere Systeme und Softwareprodukte infiltriert hat und auf ihre Reaktivierung wartet.

Man kann nur hoffen, dass die Hacker personell und organisatorisch nicht so gut aufgestellt waren, sich auf allen infizierten Sysstemen auszubreiten, sondern sich nur auf wenige US-Unternehmen und Behörden beschränkten (Schätzungen zu Folge gibt es weltweit mehr als 100.000 installierte Lizenzen, die infizierten Updates wurden nach Angaben von Solarwinds 18.000 mal gedownloaded).

Der Komplexität der IT-Architekturen ist geschuldet, dass ein geschickt geführter Angriff nicht so leicht erkannt werden kann und dass es ein schwieriges Unterfangen ist, diese wieder erfolgreich zu säubern. Voraussichtlich werden wir von SUNBURST immer wieder hören, da eine kurzfristige Bereinigung nicht zu erwarten ist.

Weitere Informationen

In Deutschland wurde zwar auch darüber berichtet, z.B. in der Tagesschau, weitergehende Details sind aber überwiegend auf englischsprachigen Seiten zu finden.

Deutschsprachige Quellen

Nachtrag vom 4. Januar

Wieviele Unternehmen genau betroffen sind ist nicht bekannt, lt. SolarWinds wurden die korrumpierten Updates 18.000 mal downgeloaded.

Microsoft hat die Ergebnisse seiner Untersuchungen publiziert – es wurden keine schwerwiegenden Angriffe gefunden, auf Quellcode-Repositorien wurde „lediglich“ lesend zugegriffen. Welche Systeme genau betroffen sind wird aber nicht erwähnt (z.B. Windows 10, der Cloud-Service Azure oder Server-Anwendungen).

Selbst lesender Zugriff ist als problematisch einzuschätzen: Der sonst nicht zugängliche Microsoft-Quellcode sollte nicht in falsche Hände geraten, denn potentielle Angreifer könnten darin noch schlummernde Sicherheitslücken ausnutzen.

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert