IT-Security

SolarWinds-Hack: Cyberattacke sorgt für globale Alarmstimmung

14. Januar 2021 von Admin PSW GROUP Blog WP

solarwinds-hack
© Ravil Sayfullin - Adobe Stock

4.8
(4)

Mehr als 18.000 Organisationen, Unternehmen, sowie Behörden sind vom SolarWinds-Hack betroffen: Wie im Dezember 2020 bekannt wurde, gelang es Cyberkriminellen, die Schadsoftware Sunburst auf den Update-Server der IT-Management-Software Orion von SolarWinds einzuschleusen. Neben der Sicherheitsfirma FireEye, zahlreichen US-Behörden und Militäreinrichtungen sind auch hierzulande Konzerne und Behörden betroffen. Wir fassen die Situation sowie bisherige Erkenntnisse für Sie zusammen und geben Ihnen präsentieren Ihnen die Einschätzung von Sectigo zu diesem Vorfall.

Schwerer Einbruch in SolarWinds IT-Systeme

Wie SolarWinds kurz nach offiziellem Bekanntwerden des Angriffs mitteilte (PDF), soll die Schadsoftware Sunburst über Orions Software-Build-System eingeschleust worden sein – im Quellcode-Repository der Orion-Plattform habe man die Schadsoftware nicht entdecken können. Offenbar, so die bisherigen Erkenntnisse, sei die Schadsoftware zwischen März und Juni 2020 eingeschleust worden und dann über die hauseigenen Update-Server vielfach heruntergeladen worden.

Kompromittiert sind laut SolarWinds höchstwahrscheinlich sämtliche Kunden, die innerhalb des besagten Zeitraums Orion-Software heruntergeladen, aktualisiert oder implementiert haben. SolarWinds spricht von mehr als der Hälfte aller 33.000 Orion-Kunden, jedoch ist noch nicht bekannt, wie viele Kunden sich tatsächlich die Schadsoftware herunterluden und bei wem Daten abgegriffen wurden.

Supply-Chain-Angriff mit Sunburst

Mit dem kompromittierten SolarWinds-Produkt Orion wurden im Jahre 2020 umfangreiche Cyberattacken ausgeführt. Sowohl in privatwirtschaftliche als auch behördliche Rechnernetzwerke in den USA, aber auch in Europa ist man in bislang unbekanntem Umfang eingedrungen. Über die Update-Server wurde mit Hintertüren eine Programmbibliothek eingeschleust, sodass die Schadprogramme Sunburst und Supernova in die Netze gelangten, wie FireEye Mitte Dezember in einer Meldung erklärte.

Damit handelt es sich um einen „Lieferkettenangriff“, also um einen Supply-Chain-Angriff: Über Updates bzw. Downloads für die Orion-Plattform von SolarWinds wurde der Trojaner verteilt und fand Zugang zu etlichen öffentlichen sowie privatwirtschaftlichen Organisationen auf der ganzen Welt. Betroffen sind die Version 2019.4 HF5 bis 2020.2.19.0. Wie das möglich war, ist bislang unklar, jedoch gibt es einen Hinweis: Schon im Jahre 2019 machte Sicherheitsforscher Vinoth Kumar SolarWinds auf das schwache Passwort „solarwinds123“ für die Update-Server aufmerksam.

 

SolarWinds-Hack: Komplettes Ausmaß noch unklar

Bisher gibt es lediglich Spekulationen zum gesamten Ausmaß des SolarWinds-Hacks. Mindestens 18.000 Unternehmen und Organisationen seien laut SolarWinds betroffen – nämlich, wie oben erwähnt, all jene, die im kritischen Zeitraum Software herunterluden oder aktualisierten. Die Sicherheitsfirma FireEye erklärt in der oben verlinkten Meldung, dass ausschließlich ausgewählte und potenziell wertvolle Ziele tatsächlich ausgenutzt wurden. Welche das konkret sind, kommt erst nach und nach ans Licht. Bisherige Erkenntnisse:

SolarWinds-Hack: Hacker griffen auf Microsoft-Quellcode zu

„Wir haben festgestellt, dass ein Konto zum Anzeigen von Quellcodes verwendet wurde“ – mit dieser Nachricht schockierte Microsoft private Anwender sowie Unternehmen am letzten Tag des vergangenen Jahres. Offenbar sind die Verantwortlichen für den SolarWinds-Hack zu Microsofts Quellcodes vorgedrungen. Zwar seien weder Quellcodes verlorengegangen noch habe man Manipulationen feststellen können. Doch schon ein Blick auf den Quellcode einer Software kann als Spionage von Betriebsgeheimnissen gewertet werden.

Weiter wird es mit Kenntnis des Quellcodes leichter, Microsoft-Produkte hacken zu können. Denn wer suchet, der findet: Schwachstellen, beispielsweise, die sich für Angriffe ausnutzen lassen. Zahlreiche Organisationen und Unternehmen setzen auf Microsoft-Produkte, auch Betreiber kritischer Infrastrukturen. Jetzt gilt es für Microsoft, offenzulegen, welche Codes von welcher Software konkret angegriffen wurden – amerikanische Sicherheitsbehörden machen hier bereits Druck. Es kommen aber auch gute Nachrichten aus dem Hause Microsoft: Der hauseigene Virenscanner Defender kann die Schadsoftware mittlerweile erkennen.

Brian Krebs, seines Zeichens IT-Sicherheitsblogger, wies auf die Domain avsvmcloud.com hin: Die einst von den Angreifern zum Kommunizieren mit kompromittierten Systemen genutzte Domain wurde von Microsoft übernommen. Das passiert nicht zum ersten Mal: in Abstimmung mit Sicherheitsbehörden hatte der Software-Konzern auch schon in der Vergangenheit Malware-Domains übernommen. Jeff Jones reagierte als Senior Director bei Microsoft auf Krebs‘ Tweet sinngemäß damit, dass jeder einen Beitrag bei der Cybersicherheit zu leisten habe.

Kurze Zeit später gab es zu der Domain neue Informationen: Gemeinsam mit FireEye und dem verantwortlichen Registrar GoDaddy wurde besagte Domain von Microsoft zu einem Killswitch umgebaut, um so die Sunburst-Malware auf betreffenden Systemen ausschalten zu können.

In einem weiteren Blogbeitrag erklärte Microsoft, dass man auf eine zweite Malware gestoßen sei, die womöglich von einer weiteren Hackergruppe stamme. Anders als die erste Malware, die auf eine gültige SolarWinds-Signatur setzte, enthält diese Schadsoftware keine Signatur, was die Vermutung zulässt, dass sie von einer weiteren unabhängigen Gruppe stamme.

SolarWinds-Hack: Weitere Betroffene

Zahlreiche Opfer zieht der SolarWinds-Hack nach sich: Händler der Office-Software von CrowdStrike sollen ebenfalls durch den Hack betroffen sein, CrowdStrike selbst jedoch nicht, wenngleich die Angreifer versucht hätten, auf die E-Mails des Unternehmens zuzugreifen. Der NYT zufolge hätten sich die Angreifer Zugang zu mehr als 250 US-Bundesbehörden – darunter das Außenministerium, das Pentagon, das Justizministerium sowie die NASA – und Unternehmen verschafft.

Sectigo-Kunden können aufatmen

Angesichts der Tatsache, dass nahezu jeder betroffen sein kann, der auf SolarWinds setzt, hat die CA Sectigo (ehemals Comodo) direkt reagiert: In einem Blogbeitrag stellt die Zertifizierungsstelle klar, dass Sectigo-Kunden sowie -Partner unberührt von dem Cyberangriff bleiben. Sectigo prüfte die interne Infrastruktur und fand keinerlei Hinweis darauf, dass hauseigene Systeme, Betriebe oder Produkte von dem Cyberangriff betroffen waren.

Weiter nutzt Sectigo die Gelegenheit, zu erklären, wie Code-Signing mit einem solchem Supply-Chain-Angriff zusammenhängen kann: Offenbar fügten die oder der Angreifer eine schädliche DLL in die Build-Umgebung von SolarWinds. Diese schädliche DLL war dann in den signierten Updates von SolarWinds Orion-Plattform enthalten. Der Angreifer fügte also den Schadcode bereits vor dem Signieren in die Build-Umgebung ein, sodass es keinen Fehler bei der eigentlichen Code-Signierung gab. Denn ein solcher Signatur-Code gewährleistet, dass die signierte Datei bitweise mit der Datei identisch ist, die signiert wurde. In diesem Fall wurde der schädliche Code bereits vor dem Build injiziert, sodass der signierte und verteilte Code schließlich die schädliche DLL enthielt.

Bundesregierung sah sich vom SolarWinds-Hack nicht betroffen

Auf eine schriftliche Anfrage der Bundestagsabgeordneten Canan Bayram (Grüne), inwieweit Landeseinrichtungen betroffen sein können, hieß es in der Antwort: „Der Bundesregierung liegen derzeit keine Erkenntnisse zu einer Betroffenheit von Landeseinrichtungen sowie zu den Urhebern der kompromittierten Solarwinds-Orion-Software vor.“ Die Frage jedoch, ob Unternehmen mit Bundesbeteiligung vom SolarWinds-Hack betroffen seien, blieb unbeantwortet.

Einige Zeit später sah die Sache jedoch schon anders aus: laut Bundesregierung nutzen 15 deutsche Bundesämter und Ministerien Software aus dem Hause SolarWinds. Jedoch schweigt sich die Regierung darüber aus, ob das gehackte Orion-Tool verwendet wird. Diesmal stellte der Bundestagsabgeordnete Manuel Höferlin (FDP) eine Anfrage, die Antwort der Bundesregierung liegt heise.de vor (PDF). Genannt werden hier zentrale IT-Dienstleister des Bundes: mitunter das Robert Koch-Institut, das Kraftfahrt-Bundesamt oder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zum Einsatz von SolarWinds-Software beim Bundesnachrichtendienst (BND) sowie beim Bundesamt für Verfassungsschutz (BfV) verzichtet die Regierung auf Angaben. Die Begründung: „Dies könnte einen Nachteil für die wirksame Aufgabenerfüllung des BfV sowie des BND und damit für die Interessen der Bundesrepublik Deutschland bedeuten“.

Die Bundesregierung erklärte auf die Frage, ob Zugriffe auf sensible Daten stattgefunden hätten: „Nach derzeitigem Kenntnisstand der Bundesregierung hat es über das Sunburst genannte Schadprogramm in der Software SolarWinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben“. Auffällig ist bei der Antwort der Bundesregierung, dass sie leidglich auf die Sunburst-Schadsoftware eingeht, nicht jedoch auf den Supernova-Trojaner. Eine angefragte Kundenliste jener Kunden, die SolarWinds-Produkte nutzen, erhebe „keinen Anspruch auf Vollständigkeit“; sie sei unter „hohem Ressourcenaufwand und umfangreichen Abstimmungen“ erstellt worden. 16 deutsche Ministerien und Bundesämter finden sich auf der Kundenliste von SolarWinds.

Sammelklage gegen SolarWinds

Dass SolarWinds sich nun auch mit juristischen Problemen auseinanderzusetzen hat, versteht sich von selbst: Aktionäre haben am 04.01.2021 Sammelklage beim U.S. District Court for the Western District of Texas gegen SolarWinds eingereicht. In der Klageschrift (PDF) heißt es: „Infolge der unrechtmäßigen Handlungen und Unterlassungen der Beklagten und des rapiden Rückgangs des Marktwerts der Wertpapiere des Unternehmens haben der Kläger sowie andere Mitglieder der Sammelklägergruppe erhebliche Verluste und Schäden erlitten“.

Konkret werfen die Kläger der SolarWinds-Führung vor, nicht offengelegt zu haben, dass die Orion-Plattform eine Schwachstelle aufwies und dass zum Sichern schwache Passwörter wie „solarwinds123“ verwendet wurden. Weiter werden der Geschäftsführung „falsche und/ oder irreführende“ Aussagen in behördlichen Einreichungen vorgeworfen. Fakten bezüglich der Geschäfte, des Betriebs sowie der Aussichten von SolarWinds seien falsch dargestellt worden.

Tatsächlich mutet das Verhalten einiger SolarWinds-Aktionäre nicht unbedingt seriös an: Nur wenige Tage vor dem Bekanntwerden des SolarWinds-Hacks, nämlich am 07. Dezember 2020, verkauften zwei Hauptinvestoren Unternehmensanteile von insgesamt 280 Millionen US-Dollar. Die beiden Aktionäre hielten bis dato rund 70 % der Aktien. Beide bestreiten ein mögliches Insiderwissen, wenngleich die Angriffe zu dieser Zeit schon einige Monate im Gange waren. Interessant ist auch, dass sich der scheidende CEO Kevin Thompson bereits im November von Aktien trennte – er veräußerte SolarWinds-Aktien im Wert von über 15 Millionen US-Dollar. Diese Fakten dürften im Zusammenhang mit der ersten Klage gegen SolarWinds interessant sein. SolarWinds selbst äußerte sich bislang zu dieser Klage nicht. Laut CRN erklärte das Unternehmen jedoch, dass man sich nun ausschließlich darauf konzentriere, „der Branche und unseren Kunden zu helfen, diesen Angriff zu verstehen und zu entschärfen“.

 

Untersuchungen beim SolarWinds-Hack dauern an

Wie das so ist nach Angriffen dieser Art zeigt man sich wenig zurückhaltend mit etwaigen Beschuldigungen: Vertreter verschiedener US-Geheimdienste sowie –Sicherheitsbehörden schließen sich der Meinung von Außenminister Pompeo sowie Justizminister Barr an und beschuldigen Moskau. Die regierungsnahe Gruppierung APT29 habe den Angriff zu verantworten, davon sind die genannten Stellen überzeugt. Nachdem sich Donald Trump nach dem Angriff eine Zeitlang ausgeschwiegen hatte, legte er hier jedoch sein Veto ein: China könnte es schließlich auch gewesen sein.

Beide Ideen gehören zunächst – bis es handfeste Beweise gibt – ins Reich der Spekulationen. Wenngleich handfeste Beweise noch fehlen, führen erste Spuren der Strafverfolgungsbehörden in eine ganz andere Richtung: Zum in Tschechien ansässigen Softwareentwickler JetBrains. Das berichtet die NYT unter Berufung auf entsprechende Ermittler. Leider fehlt es auch bei dieser Spur an richtigen Anhaltspunkten – die einzige Verbindung besteht derzeit darin, dass SolarWinds zur Kundschaft von JetBrain zählt.

Das bestätigt JetBrains selbst in einem Blogeintrag: Ja, SolarWinds zählt zu JetBrains Kunden. Jedoch dementiert JetBrains-CEO Maxim Shafirov eine Beteiligung an den Vorfällen: SolarWinds selbst habe JetBrains bislang keinerlei Informationen bereitgestellt. Womöglich könnten Fehlkonfigurationen durch SolarWinds zu einer Kompromittierung geführt haben, jedoch seien keinerlei Anhaltspunkte dazu bekannt. In einem erneuten Update erklärt Shafirov: „Im Rahmen unseres Engagements für Transparenz und um unsere Kunden über die Ereignisse auf dem Laufenden zu halten, möchten wir Sie darüber informieren, dass wir uns proaktiv an das US-Justizministerium gewandt und mit ihm gesprochen haben. Wir haben ihnen unsere uneingeschränkte Zusammenarbeit angeboten in dieser Sache. Noch einmal, um es noch einmal zu wiederholen, wir sind uns keiner Schwachstelle bewusst, die zu dieser Situation geführt haben könnte.“

Es wird noch andauern, bis Spuren gefunden werden, denen mehr als nur wilde Spekulationen anheften. Es wäre wünschenswert und im Sinne betroffener Kunden, echte Aufklärungsarbeit zu leisten und vor allem vorzusorgen. Dazu gehört es, sichere Passwörter zu verwenden und Zugänge effektiv abzusichern. Womöglich hätte allein diese Vorsorge schon dazu führen können, dass der SolarWinds-Hack in dieser Ausprägung nicht hätte stattfinden können. Zweifellos lässt sich von einem der gefährlichsten Hacks in der Geschichte sprechen.

Wünschenswert wäre es weiter, wenn endlich ein verbindliches und systematisches Management von Sicherheitslücken existieren würde. Nach wie vor fehlt es dem IT-Sicherheitsgesetz an einer Meldepflicht für Sicherheitslücken – ein Zustand, der nicht haltbar ist, wie der SolarWinds-Hack nun eindrucksvoll beweist. Ebenfalls beweist dieser Angriff, dass wir auf starke Verschlüsselung ohne Hintertüren angewiesen sind – stärker als mit Hintertüren lässt sich Sicherheit nicht schwächen.

Noch etwas zeigt dieser Fall: Nach wie vor ist das Sicherheitsbewusstsein von Führungskräften und Mitarbeitern in der IT-Sicherheitsindustrie verbesserungswürdig. Systempasswörter für die SolarWinds-Software lagen einfach auf einem Server herum. Sicherheitshinweise wurden ignoriert, Risiken heruntergespielt. Es muss einfach das Bewusstsein dafür weiter steigen, dass unsere digitalisierte Welt angreifbar ist – und dass jeder einzelne im jeweiligen Unternehmen maßgeblich dazu beitragen kann, die Sicherheit herauf- oder herabzusetzen.

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.8 / 5. Vote count: 4


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu