Der SolarWinds-Hack – Ein Cyberangriff in mehreren Akten mit noch offenem Ausgang

Seit Anfang Dezember 2020 kursieren Nachrichten zu einem massiven Cyberangriff, von dem rund 18.000 Unternehmen und Regierungsbehörden betroffen sind. Darunter sind auch deutsche Behörden. Der Cyberangriff hat das Potential zum größten Cyberangriff der IT-Geschichte zu werden. Allerdings sind die Untersuchungen noch nicht abgeschlossen und die Lage nicht ganz einfach zu überblicken. Der Beitrag arbeitet den aktuellen Stand der Untersuchung auf und stellt einen Ablauf der bisherigen Ereignisse dar.

SolarWinds ist ein US-amerikanisches Unternehmen und auf die Entwicklung von Netzmanagement-Software und Monitoring Tools spezialisiert. SolarWinds bedient tausende Unternehmen. Dazu gehören Softwaregiganten wie Microsoft, verschiedene US-Behören sowie deutsche Ministerien, Ämter und Institute (Robert-Koch-Institut, Verkehrsministerium, Bundekriminalamt,…).

Ein zentraler Bestandteil des Softwareangebotes von SolarWinds ist die Orion Platform. Orion ist eine skalierbare Überwachungs- und Verwaltungsplattform für die IT-Infrastruktur sowie ihre Administration. Die Plattform ist modular und bietet zwölf Module in der Produktfamilie an. Dazu gehört unter anderem ein Modul zur Netzwerküberwachung (Network Performance Monitor), eines zur Verwaltung der Konfiguration eines Netzwerks (Network Configuration Manager), einen Manager für den IP-Adressbestand (IP Address Manager), ein Modul zur Benutzer- und Geräteüberwachung (User Device Tracker).

Ein Kunde von SolarWinds ist das US-amerikanische Unternehmen FireEye. Das Unternehmen FireEye ist im Bereich der Cybersecurity tätig und bietet eigene Software und Tools zur Erkennung von Angriffen. Am 8. Dezember 2020 berichtete Kevin Mandia (Chief Executive von FireEye), dass das Unternehmen angegriffen wurde und es einen unautorisierten Zugriff auf die FireEye Red Team Tools gab. Es muss davon ausgegangen werden, dass die Red Team Tools durch den Zugriff gestohlen wurden.

Ein Red Team ist eine Gruppe von Security Fachleuten, die dazu autorisiert sind, potenzielle gegnerische Attacken oder Exploits auf die IT-Sicherheitsstruktur eines Unternehmens zu imitieren. Die Red Team Tools können als hoch spezialisierte Hacking-Tools bezeichnet werden. FireEye hat eine Liste mit Gegenmaßnahmen zu den Red Team Tools auf der Plattform GitHub veröffentlicht. Leider ist der Hack von FireEye nur die Spitze des Eisbergs.

Der Hack auf FireEye erfolgte durch die Kompromittierung der Netzmanagement Software Orion Platform (SolarWinds). Demnach konnte anhand von mehreren Updates im Zeitraum März – Mai 2020 durch eine Supply-Chain-Attacke ein Trojaner in die Orion Platform eingeschleust werden. Der Trojaner wird auch als SUNBURST bezeichnet.

Die Funktionsweise von SUNBURST entspricht einer Backdoor und kann bis zu zwei Wochen inaktiv sein. Es kann Befehle erhalten und ausführen und mit außenstehenden Servern via HTTP kommunizieren. Dazu gehört der Transfer von Dateien, das Ausführen von Dateien, die Erstellung eines Profils des befallenen Systems, der Neustart eines Geräts und die Abschaltung von Systemdienstleistungen. SUNBURST ist voraussichtlich seit dem Frühling 2020 aktiv und blieb bis Anfang Dezember unbemerkt.

SUNBURST blieb so lange unbemerkt, da es eine digitale Signatur des Unternehmens SolarWinds besitzt. Da SUNBURST über ein Update in der Supply-Chain bezogen wurde, wurde er von legitimen Prozessen (SolarWinds.BusinessLayerHost.exe oder SolarWinds.BusinessLayerHostx64.exe) geladen und erscheint daher selbst als legitim. Außerdem verwendet SUNBURST Blocklisten und kann Antiviren-Tools identifizieren. SUNBURST ist dadurch in der Lage, die eigenen Aktivitäten gegenüber Antiviren-Tools zu verbergen.

SolarWinds bestätigte die beschriebenen Vorkommnisse in einem Sicherheitshinweis. Darin wird die Existenz einer zweiten, unabhängigen Backdoor mit der Bezeichnung SUPERNOVA für die Orion Platform bestätigt. SUPERNOVA ist kein Bestandteil der Supply-Chain-Attacke und besitzt auch keine gültige digitale Signatur. Entsprechend musste SUPERNOVA durch einen unautorisierten Zugriff auf einem Server platziert werden.

Am 31. Dezember 2020 bestätigte Microsoft in einem Blogbeitrag, dass ungewöhnliche Aktivitäten bei einer kleinen Zahl von internen Accounts festgestellt werden konnte. Ein Account wurde beispielsweise dazu verwendet, um Source-Code von Microsoft einzusehen. Allerdings konnte bestätigt werden, dass am Source-Code keine Änderungen getätigt wurden.

Microsoft zufolge ist eine Einsicht in den Source-Code nicht mit einem erhöhten Risiko verbunden. Microsofts Bedrohungsmodelle gehen davon aus, dass Angreifer bereits über Wissen zum Source-Code verfügen.

Weitere Opfer der SolarWinds Attacke (neben Microsoft, FireEye) sind: Belkin, Cisco, Intel, Nvidia und VMware. Außerdem sind US-Behörden wie das Pentagon, das Justizministerium und die NASA betroffen. Die Bundesregierung gibt dagegen Entwarnung: Demnach sind die deutschen Kunden von SolarWinds in Form von Instituten, Behörden und Ämtern vom Hack nicht betroffen. In der Sitzung des Bundestagsausschusses „Digitale Agenda“ am 14. Januar 2021 bekräftigte das Informationstechnikzentrum Bund, dass SolarWinds Produkte eingesetzt werden, aber nicht die Orion Platform, berichtete das ZDF in einem Update am 15. Januar 2021.

SolarWinds war bereits in der Lage, SUNBURST und SUPERNOVA in einem Update zu patchen und den Betroffenen entsprechende Handlungsanweisungen zu geben. Allerdings blieb SUNBURST fast neun Monate unbemerkt. Man könnte behaupten, dass der Schaden längst passiert ist und die Angreifer einen Großteil der Datensätze, die sie ergattern wollten, bereits besitzen. Eventuell war der Diebstahl der Red Team Tools von FireEye einer der letzten Schritte in der Agenda der Angreifer und sie haben bewusst in Kauf genommen, im Anschluss aufzufliegen.

Mittlerweile bezeichnet Microsoft die Vorfälle bei SolarWinds als „Solorigate“. Wenn Solorigate nicht als größter Cyberangriff in die IT-Geschichte eingeht, dann definitiv als einer der raffiniertesten. Allerdings sind die Ermittlungen bisher nicht abgeschlossen und es kann mit der Bekanntmachung von weiteren Einzelheiten gerechnet werden. In jedem Fall beweist der IT-Sektor, dass er nicht davor zurückschreckt, Malware mit thematisch passenden Metaphern zu beschreiben.

Update 20.01.21 – Mittlerweile haben vier Unternehmen einen erfolgreichen Angriff auf ihre IT-Infrastruktur gemeldet: Microsoft, FireEye, CrowdStrike und Malwarebytes.

Bisher ohne Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.