Hack der Dekade

SolarWinds: beispielloser Angriff auf die Netzwelt

Uhr
von Tim Berghoff, Security Evangelist, G Data Cyberdefense

Ende des vergangenen Jahres ist eine Meldung über einen beispiellosen Angriff auf tausende Netzwerke wie eine Bombe eingeschlagen. Regierungsbehörden und Privatunternehmen mussten feststellen, dass ihre Netzwerke kompromittiert waren. Ein kleiner Einblick in den Hack der Dekade.

Tim Berghoff, Security Evangelist, G Data Cyberdefense. (Source: zVg)
Tim Berghoff, Security Evangelist, G Data Cyberdefense. (Source: zVg)

Im Dezember 2020 haben Berichte die Runde gemacht, dass viele Netzwerke von Behörden und Privatunternehmen Ziel eines bisher beispiellosen Angriffs geworden waren. Hinter dieser Welle von Angriffen steckte allerdings keine besonders kritische Windows-Sicherheitslücke, die ungepatcht blieb, und keine Schadsoftware, die diese ausnutzte. So etwas war bereits im Fall Wannacry passiert – mit bekanntermassen verheerenden Auswirkungen. Was alle Angriffsopfer gemeinsam hatten, war eine Netzwerkverwaltungssoftware mit Namen "Orion" des Herstellers Solarwinds. Es zeigte sich, dass diese mit einer Spionage­software durchsetzt war – und zwar ohne Wissen des Herstellers. Wie das möglich war? Durch die Kompromittierung der Entwicklungsumgebung. Das Besondere daran: Die Spionagesoftware mit dem Namen Sunburst wurde nicht im "Hau-Ruck"-Verfahren in die Netzwerksoftware eingebaut. Die Angreifer haben hier nichts überstürzt und sich reichlich Zeit gelassen. Der Grund dafür wird später in diesem Artikel wichtig.

Im unternehmenseigenen Blog stellt Solarwinds seine Erkenntnisse aus einer Analyse vor und erklärt, dass Kriminelle über Monate unbemerkt von aussen immer neue Einzelkomponenten hinzugefügt hätten. Dabei hätten sie kreativ agiert, um keinen Verdacht zu erregen und nicht zu viel "Lärm" zu machen. Am Ende stand eine Spionagesoftware, die fest in die Netzwerkverwaltung eingebaut war und die Solarwinds praktischerweise auch direkt an seine Kunden mit ausgeliefert hat. Die verseuchten Software-Updates erregten keinerlei Verdacht und wurden in zahlreichen Unternehmen weltweit installiert. Erst Mitte Dezember 2020 machte einer der Kunden von Solarwinds – das Sicherheitsunternehmen Fireeye – auf das Problem aufmerksam. Innerhalb von Tagen stellte das Unternehmen Updates bereit, welche die betroffenen Versionen der Orion-Netzwerkverwaltung von der schädlichen Last befreite. Insgesamt haben in dem Zeitraum, in dem die Angreifer aktiv waren, rund 33 000 Kunden die Orion-Plattform verwendet. Allerdings verwendeten nach Einschätzung von Solarwind weniger als 18 000 Kunden eine manipulierte Installation.

Wer Wind sät …

Noch ist die Urheberschaft von Sunburst bislang nicht zweifelsfrei geklärt, es gibt aber einige tragfähige Hinweise, die nach Russland deuten. Dafür spricht, dass die Spionagesoftware Ähnlichkeiten mit früheren Schadprogrammen hat, die mit einiger Sicherheit ihren Ursprung in Russland haben und denen eine Nähe zu Geheimdiensten nachgesagt wird. Diese Spuren gehen zurück bis zu einem früheren Spionageprogramm namens "Turla" – auch bekannt unter dem Namen "Uroburos", an dessen Analyse auch Fachleute von G Data beteiligt waren. Doch das muss nicht unbedingt heissen, dass ein russischer Geheimdienst der Urheber ist. Es ist ebenso möglich, dass ein Entwickler dahintersteckt, der an anderen Programmen gearbeitet hat, die Ähnlichkeiten zum vorliegenden Fall haben, und der jetzt den Arbeitgeber gewechselt hat. Bisher gibt es jedoch keine Hinweise, die von Russland abweichen. Die abschliessende Antwort wird daher noch auf sich warten lassen und kann auch weitere unerwartete Verbindungen zutage fördern. Ein Beispiel dafür, welche Wendungen ein solcher Fall nehmen kann, ist Sandworm – dieser Fall wurde auch in einem sehr lesenswerten gleichnamigen Buch aufgearbeitet.

Was die Angreifer wollten

Nach einer ersten eingehenden Analyse durch zahlreiche Forscher steht fest: Sunburst war und ist auf langfristiges Sammeln und Ausleiten von Informationen ausgelegt. Die Eindringlinge hatten monatelang Zeit, sich in aller Ruhe in den kompromittierten Netzwerken umzusehen. Bei vielen der betroffenen Behörden steht noch gar nicht abschliessend fest, worauf die Angreifer Zugriff hatten. Zu den Opfern zählt auch Microsoft. Der Konzern gab zum Beispiel bekannt, dass die Angreifer vermutlich Zugriff auf Quellcode hatten. Im Fall von Fireeye, einem Spezialisten für Incident Response und Penetrationstests, waren spezielle Werkzeuge betroffen. Welche Daten jedoch bei betroffenen Behörden abgegriffen wurden, ist derzeit noch nicht bekannt.

Auch der Aufwand, der für die Entwicklung und Platzierung in den Systemen von Solarwinds erforderlich war, ist ein Indikator, der in Richtung Spionage weist. Anders als wirtschaftlich oder ideologisch motivierte Tätergruppen sind Spione nicht auf schnelle Ergebnisse angewiesen und können sich wesentlich mehr Zeit bei ihren Angriffen lassen. Erste Massnahmen, die die Implementierung von Sunburst vorbereiteten, wurden aller Wahrscheinlichkeit nach bereits im Frühjahr 2019 realisiert. Ein weiterer Grund: Staatliche Auftraggeber sind finanziell meistens sehr gut ausgestattet, sodass auch ein entsprechender Aufwand bei der Entwicklung betrieben werden kann.

Zulieferer und Versorgungsketten attackieren

Diese Art von breit gestreuten Angriffen richtet sich explizit gegen Versorgungsketten (Supply Chains). Statt mit hohem personellem Aufwand mehrere Ziele einzeln zu infiltrieren, ist es aus Sicht eines Angreifers viel effizienter, einen gemeinsamen Nenner zu finden, der alle potenziell interessanten Ziele vereint. Um dann einen Angriff gezielt gegen diesen gemeinsamen Nenner zu richten. Genau das ist im Fall Solarwinds geschehen. Die Taktik an sich ist bereits seit der Antike bekannt und setzt sich bis in verschiedenste Bereiche der Neuzeit fort. Doch Angriffe gegen Supply Chains sind nicht nur Teil des Spionage- und Kriegsrepertoires – es gibt auch wirtschaftlich motivierte Angriffe auf Versorgungs- und Lieferketten. So haben die Analysten von G Data ebenfalls vor einigen Jahren entdeckt, dass preiswerte Smartphones aus Asien in manchen Fällen mit einer manipulierten Firmware ausgeliefert werden. Diese greift nicht nur persönliche Daten ab, mit dem Zweck, diese zu verkaufen, sondern generiert mit automatisierten Installationen von Apps Geld – für den Endanwender bleibt ein doppelter Schaden. Installiert haben diese manipulierte Software aller Wahrscheinlichkeit nach jedoch nicht die eigentlichen Hardwarehersteller, sondern vermutlich entweder ein Dienstleister oder ein Zwischenhändler.

Ein Funken Hoffnung

Der Fall "Sunburst" verdeutlicht wieder einmal zwei Dinge: Erstens, dass Firmen und Behörden keine andere Wahl bleibt, als ihren Zulieferern zu vertrauen. Und zweitens, dass selbst absolute Profis auf dem Bereich der IT-Sicherheit nur wenig Chancen haben, wenn Angreifer – mit welchem Hintergrund auch immer – genug Mittel und Motivation mitbringen, um sich unbemerkt einzuschleichen. Die grösste Sorge ist deshalb im Moment, dass auch andere Hersteller von ähnlichen Angriffen betroffen sein könnten, dies aber noch nicht wissen. Diese Befürchtung äusserte Solarwinds-CEO Sudhakar Ramakrishna. Realistisch betrachtet ist das durchaus wahrscheinlich – wenn man sich vor Augen führt, wie lange sich ein geschickter Angreifer vergleichsweise unbehelligt in einem Netzwerk bewegen kann, dann passt der Fall Solarwinds recht gut ins Bild. Dass gezielte und von langer Hand vorbereitete Angriffe schnell auffallen, hat Seltenheitswert. Als Thyssenkrupp vor einigen Jahren zum Ziel eines Angriffs wurde, haben Sicherheitsverantwortliche bereits nach sechs Wochen die Unregelmässigkeiten im internen Netzwerk gefunden. Was nach einer langen Zeit klingt, relativiert sich jedoch sehr schnell, wenn man sich vor Augen führt, dass Eindringlinge im Netz in den meisten Fällen sechs Monate und länger unbemerkt bleiben. Positiv hervorzuheben ist jedoch, dass zumindest Solarwinds sehr schnell reagiert und sehr offen kommuniziert hat. Auch die Zusammenarbeit mit anderen Herstellern sowie betroffenen Organisationen war bisher vorbildlich. In diesem Zusammenhang wird auch deutlich, dass die Sicherheits-Community insgesamt – bei aller geschäftlichen Konkurrenz – ausgezeichnet vernetzt ist und untereinander kooperiert. Denn letztlich haben eigentlich alle das gleiche Ziel.

Webcode
DPF8_209062