+43 699 / 18199463
office@itexperst.at
Hacker Angriff auf SolarWinds – eine unendliche Geschichte, die Hintergründe beleuchtet

Hacker Angriff auf SolarWinds – eine unendliche Geschichte, die Hintergründe beleuchtet

In einer Anhörung des Geheimdienst-Ausschusses des US-Senats Ende Februar ging es um einen weitreichenden Lieferketten-Angriff gegen den Anbieter von IT-Management-Software, SolarWinds. Unzählige Unternehmen und US-Behörden waren von dem Hack betroffen gewesen. CEOs von SolarWinds, Microsoft und einigen IT-Sicherheitsunternehmen wurden befragt, wie das passieren konnte. Auch fundamentale Fragen nach neuen Incident-Reponse Regel kamen auf.

Die Aufarbeitung des massiven Hackerangriffs gegen SolarWinds gab den IT-Sicherheitsforschern einen Einblick in die außergewöhnlichen Fähigkeiten großer Hackergruppen. Nicht nur SolarWinds, sondern auch der Amazon Cloudservice AWS und Microsofts Cloud-Software waren Teil des Angriffs. Am Ende gab es viele hochkarätige Opfer, wobei 30 Prozent gar keine direkte Verbindung zu SolarWinds hatten – sie waren trotzdem angegriffen worden.

SolarWinds: ein grober Überblick

Das amerikanische Unternehmen SolarWinds mit Sitz in Austin, Texas, verkauft Network-Management-Software zur IT-Verwaltung. Bei dem Angriff fügten Hacker im Oktober 2019 bösartigen Test-Code in ein Update auf deren Software-Plattform Orion ein. SolarWinds bedient mit der Plattform etwa 18.000 Kunden, die darüber Updates auf ihren Systemen installieren. Im Februar 2020 injizierten die Hacker dann ihre Sunburst-Backdoor in den Orion-Quellcode, noch bevor der Software-Update-Prozess released wurde.

Das Hacking-Opfer SolarWinds: Ein perfekt ausgeführter Lieferketten-Angriff

Einfach haben es sich die Hacker in diesem Fall sicherlich nicht gemacht: Sie nutzten keine herkömmlichen Angriffswege wie ungepatchte Software-Schwachstellen oder Phishing-Kampagne. Um Zugang zu erhalten, gingen sie den höchst anspruchsvollen Weg über die Lieferkette. So gelang ihnen der bis dato größte Cyberangriff in der US-Geschichte.

Zeitleiste des SolarWinds Hackerangriffs

Bildrechte: SolarWinds

In der Vorbereitungsphase nahmen sich die Hacker viel Zeit. Laut SolarWinds drangen die Angreifer am 4. September 2019 in die Entwicklungsumgebung des Unternehmens ein und begannen sogleich mit dem Testen ihres bösartigen Codes. Er zielte darauf ab, Backdoors in die Orion Plattform einzuschleusen. Völlig unentdeckt hielten sich die Hacker monatelang in der Softwareentwicklungs-Plattform des Unternehmens auf.

Mittlerweile weiß man aufgrund einer technischen Analyse von CrowdStrike, etwas mehr: Die Angreifer testeten, ob ihre bösartige Sunburst-Backdoor erfolgreich in Orion-Produkte einfügen könnte, ohne die Entwickler bei SolarWinds zu alarmieren. Sunspot war von den Hackern speziell entwickelt worden, um den Entwicklungsprozess bei SolarWinds zu untergraben.

Die Sunspot Malware war so raffiniert geschrieben und getarnt, dass sie erkennen konnte, ob Entwickler auf bestimmte Orion-Quellcodedateien zugriffen. Quellcode-Dateien konnte gleich während des Build-Prozesses ersetzt werden. Außerdem waren auch Schutzmechanismen eingebaut, die verhinderten, dass die Backdoor-Codezeilen in den Build-Protokollen der Orion-Software auftauchen würden. Auch Überprüfungen wurden durchgeführt, um sicherzustellen, dass die Manipulationen keine Build-Fehler verursachen würden. Monate vor dem Update-Release liefen Testläufe über wechselnde IP-Adressen ab, die alle unentdeckt blieben. Ganz clever war auch, dass Sunburst im Update erst 11 Tage später aktiviert wurde, um eine Entdeckung möglichst nicht mit dem Update zu verknüpfen.

Nicht nur SolarWinds zählte zu den Sunburst Opfern

Das Vorgehen der Hacker war besonders wirkungsvoll, da etwa 18.000 in- und ausländische Unternehmen und Regierungsbehörden weltweit die Orion-Software direkt verwenden. Dazu gehören auch die Tech-Unternehmen Cisco, Intel, Belkin, VMware und Nvidia. Kunden von SolarWinds sind auch Fortune500 Unternehmen wie AT&T, Procter & Gamble oder McDonald’s. Mindestens 100 Organisationen des privaten Sektors waren nach ersten Analysen direkte Opfer des Angriffs. Laut dem Leiter des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, nutzten nur drei deutsche Behörden die Solarwinds Orion Plattform.

Amerikanische Behörden und Institute

Untersuchungen ergaben, dass die Hacker sich wohl auch Zugang zu den Systemen des California Department of State Hospitals und der Kent State University verschafft hatten. Die US-Ministerien für Handels, Verteidigung, Energie, Heimatschutz und Finanzen sowie das Außenministerium waren auch erfolgreich angegriffen worden. Es ist nicht klar, welche Daten von den Ministerien gestohlen wurden.

Cybersicherheitsunternehmen

Opfer waren auch namhafte Cybersicherheitsunternehmen wie Malwarebytes, CrowdStrike und FireEye. Bei letzterem war der Angriff erfolgreich gewesen. Der E-Mail-Sicherheitsanbieter Mimecast beklagte, dass die Microsoft 365-Konten von Kunden kompromittiert worden waren. Fidelis Cybersecurity untersucht ebenfalls einen Angriff gegen seine Systeme. Qualys bestätigte auch einen Sicherheitsvorfall, der aber keine Auswirkungen auf die Produktionsumgebung gehabt hätte. Auch Palo Alto Networks meldete sich als Opfer, sagte aber, dass der Angriff abgewehrt werden konnte. Volexity berichtete, dass sie die Angriffe der gleichen Hackergruppe nachverfolgten. Sie führt die Gruppe unter dem Namen Dark Halo, die wohl mehrere Male einen US-Think-Tank gehackt hatte, wobei aber nur ein Angriff direkt mit dem SolarWinds Update zu tun hatte.

Die Rolle von Amazon Web Services

Amazon musste auch eine Rolle in dem Sunburst-Angriff spielen. Der US-Senat nahm es Amazon bei der Anhörung im Geheimdienst-Ausschusses übel, keinen Vertreter gesandt zu haben. Obwohl Amazon Web Services keine SolarWinds-Software verwendet und auch nicht mit der Malware infiziert wurde, spielte es eine entscheidende Rolle. Vorteilhaft für die Hacker war, dass Amazons Cloud-Hosting Dienst besonders gut geeignet war, ihre Machenschaften als harmlosen Netzwerkverkehr zu tarnen. Das war die einstimmige regierungsseitige Ansicht in der Anhörung.

Nachdem die Hacker in Opfer-Netzwerke eindrangen, auf denen die getarnte Backdoor installiert war, mussten sie weiter vordringen. Um den Verdacht zu minimieren, tarnten sie sich als echte Mitarbeiter, die auf die Systeme zugriffen. Dafür waren die Server des Amazon Web Services wie geschaffen, da der Datenverkehr zu und von dieser Cloud-Plattform sehr legitim aussieht. Außerdem konnten die Hacker auch ihre Schadprogramme unbehelligt über deren Dienste ausführen. Alle ihre bösartigen Installationen und Kommunikationen liefen völlig ungestört darüber ab. Und genau hierzu wollte man in der Anhörung wissen, wie viel Amazon darüber tatsächlich wusste. Es ist nicht das erste Mal, dass hochkarätige Angreifer die Amazon Cloud für Angriffe auf Ziele in den USA nutzen.

Microsoft – erstes und vielleicht wichtigstes Opfer

Die Hacker hatten sich wohl auch fast ein Jahr lang im SolarWinds E-Mail-System aufgehalten. Im Dezember 2019 verschafft sie sich Zugang zu einem Office 365-E-Mail-Konto. Damit begann eine Kette von E-Mail-Kompromittierungen anderer Konten.

Microsoft war tatsächlich eines der ersten Opfer des Angriffs. Es ist nun bekannt, dass die Hacker sogar die streng geschützten Quellcodes der Azure, Exchange und Intune Software eingesehen haben. Microsoft erklärte aber, dass der Code nicht geändert werden konnte. Es seien auch keine Beweise gefunden worden, dass die Microsoft-Systeme für Angriffe auf andere genutzt wurden. Aber dieser Punkt ist noch nicht ganz geklärt. Microsoft legte ihre Untersuchungsergebnisse vor, wonach es mit der manipulierten Orion Software angegriffen wurde. Es gab noch weitere Angriffe auf die Microsoft-Systeme im Januar 2021. Die Hacker suchten nach bestimmten vertraulichen Informationen wie Zugangstoken. Ihr Vorhaben scheiterte.

Die CISA hatte beobachtet, dass eine Hackergruppe bei einem Opfer kompromittierte Anwendungen in der Azure-Umgebung von Microsofts Office-Suite 365 einsetzt und zusätzliche Anmeldeinformationen und Programmierschnittstellen verwendet hatte. Sie wollten sich Zugriff auf Cloud-Ressourcen von Organisationen des privaten und öffentlichen Sektors verschaffen. Die Cybersicherheitsbehörde veröffentlichte ein kostenloses Tool, um ungewöhnliche und bösartige Aktivitäten in Azure zu erkennen. Laut der CISA, haben die Hacker ausgenutzt, wie Microsoft seine Cloudsoftware konfiguriert hatte und spielte damit auf die 30 % der Opfer an, die keinen Bezug zu SolarWinds hatten. Auch Malwarebytes nannte einen Vorfall, in dem die Hacker in mehrere ihrer Microsoft 365-Konten eingebrochen waren.

Das wäre nur möglich mit einem Konten-Zugang und der Ausnutzung eines Schlupflochs in der Microsoft-Konfiguration. Es gibt dort einige weniger bekannte Schwachstellen, mit denen sich Programme in der Cloud-Software authentifizieren lassen. Inzwischen untersucht man bei Solarwinds selbst, ob es Microsoft-Software war, die die Hacker ursprünglich verwendet haben, um sich Zugang zu ihren Systemen zu verschaffen. In anderen Fällen nutzten die Hacker Apps von Drittanbietern mit privilegiertem Zugang zu Office 365 und Azure Produkten.

Microsoft bestätigte Mitte Dezember, dass es Hinweise für eine Schadsoftware in den Systemen gefunden hatte. Experten gehen sogar davon aus, dass Microsofts eigene Systeme für die Hacking-Kampagne genutzt wurden, aber Microsoft dementierte diese Behauptung. Auch der Chef von CrowdStrike wies darauf hin, dass die Ausweitungen des Angriffs zu einem großen Teil auf „systemische Schwächen in Windows“ zurückzuführen seien. Er nannte hier „traditionelle Authentifizierungsmethoden und veraltete Sicherheitstechnologien“ als Beispiel und zeigte Lösungsansätze auf.

Die große Frage: Wer sind die Hacker hinter den Angriffen auf SolarWinds und Sunburst?

Die Gruppe von Experten in der Anhörung war sich einig: Am Werk war ein riesiges Team von sehr versierten und geduldigen Hackern gewesen. Gesprochen wurde von mindestens 1.000 Hackern, die an dem Coup gearbeitet haben müssen, um all das zu abzuziehen. Allein schätzungsweise 4.000 Zeilen Softwarecode waren dabei umgeschrieben worden und als Backdoor über das Orion Update verteilt worden. Deutlich wurde auch, dass den Hackern am Wichtigsten war, nicht entdeckt zu werden. Das deutet darauf hin, dass eine staatlich unterstützte Gruppe am Werk war, die auf keinen Fall entdeckt werden durfte, weil sie eine gefährliche Grenze überschritt.

Dafür kommen also nur ein paar wenige Gruppen in Betracht. Die amerikanischen Behörden gehen davon aus, dass der Angriff „wahrscheinlich russischen Ursprungs“ war. Auch Sicherheitsexperten sehen die Indizien dafür an vielen Stellen des Angriffs. Die Methode des Hackings sei einfach „nicht mit China, Nordkorea oder dem Iran übereinstimmend.“

Ob der russische Staat dahintersteckt oder nicht, ist nicht bekannt. Die russische Botschaft wies solche Vermutungen klar zurück: „Russland führt keine offensiven Operationen im Cyberbereich durch.“ Und kaum im Amt musste Präsident Biden auch diesen massiven Angriff mit dem russischen Präsidenten Wladimir Putin besprechen. Genaueres ist hierzu nicht bekannt.

Die Senatsanhörung beleuchtet nun die generelle Problematik

In der Diskussion in der Anhörung ging es auch um die Verhinderung solch massiver Hackerangriffe. Einigkeit herrschte unter den Anwesenden, dass hierfür der Austausch von Informationen unerlässlich sei. Kritisiert wurde, dass derzeit sehr viele Informationen in „Silos“ zurückgehalten wurden. Das läge auch daran, dass es Sicherheitsunternehmen vertraglich untersagt sei, Informationen mit anderen zu teilen, obwohl dies manchmal dringend nötig wäre. Die Senatoren selbst plädierten für einen viel besseren Informationsaustausch.

Die Sicherheitsexperten prangerten hierzu jedoch die existierenden Prozessketten an. Man müsste mit mehreren Agenturen kommunizieren. Das helfe oft nicht, weil es sehr langatmig und umständlich sei.

SolarWinds-CEO Sudhakar Ramakrishna sieht es sogar als effizienter an, dass private Organisationen direkt mit der zuständigen Behörde kommunizieren sollten. Diese könnte dann die Informationen entsprechend weitergeben. Ein Ansatz wäre hier die Einrichtung einer Ermittlungsbehörde, die „große Verstöße sofort untersuchen könnte, um zu sehen, ob ein systemisches Problem vorliegt.“

Die IT-Branche sollte sich zukünftig vermehrt auch auf den Schutz von Software-Build-Systemen konzentrieren. Diese Art von Angriffen würde ein großes Risiko für automatisierte Lieferketten-Angriffe darstellen. Plattformen wie die von SolarWinds seien weit verbreitet in der gesamten Branche. Ein Angriff auf eine Software-Lieferkette sei besonders wirkungsvoll. Er öffnet Hackern die Türen zu vielen Tausenden Opfern in aller Welt gleichzeitig.

Artikel von cnet.com, 24.02.2021: SolarWinds not the only company used to hack targets, tech execs say at hearing
Artikel von govinfosecurity.com, 24.02.2021: Senate SolarWinds Hearing: 4 Key Issues Raised
Artikel von theregister.com, 24.02.2021: Microsoft president asks Congress to force private-sector orgs to admit when they’ve been hacked
Artikel von zdnet.com, 23.02.2021: CEOs, Senators discuss mandating cyber-attack disclosures
Artikel von intelligence.senate.gov, 23.02.2021: Video des Intelligence Hearing
Artikel von thehill.com, 03.02.2021: Hackers had access to SolarWinds email system for months: report
Artikel von krebsonsecurity.com, 12.01.2021: SolarWinds: What Hit Us Could Hit Others
Artikel von faz.net, 02.02.2021: Der raffinierte „Solarwinds-Hack“ geht ein ganzes Stück über den ursprünglich angegriffenen Softwareanbieter hinaus – und lässt auch Zweifel an Microsoft-Software aufkommen. 
Artikel von golem.de, 15.02.2021: Microsoft schätzt rund 1.000 Beteiligte für Solarwinds-Hack
Artikel von silicon.de, 19.02.2021: SolarWinds-Hack: Microsoft bestätigt Zugriffe auf Quellcode von Azure, Exchange und Intune
Artikel von heise.de, 31.01.2021: US-Ermittler: Massiver Hackerangriff geht weit über SolarWinds hinaus
Artikel von securityweek.com, 01.02.2021: CISA Says Many Victims of SolarWinds Hackers Had No Direct Link to SolarWinds
Artikel von scmagazine.com, 29.01.2021: Does SolarWinds change the rules in offensive cyber? Experts say no, but offer alternatives
Artikel von scmagazine.com, 29.01.2021: As SolarWinds spooks tech firms into rechecking code, some won’t like what they find
Artikel von zdnet.com, 29.01.2021: SolarWinds attack is not an outlier, but a moment of reckoning for security industry, says Microsoft exec
Artikel von arstechnica.com, 29.01.2021: 30% of “SolarWinds hack” victims didn’t actually use SolarWinds

Beitragsbild: Public Domain, Creative Commons CC0 von Robinraj Premchand auf Pixabay.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen