Wer ist Solarwinds?
Solarwinds ist eine der vielen scheinbar harmlosen Netzwerküberwachungssoftwares. Mit einem Umsatz von knapp einer Milliarde Dollar handelt es sich nicht um einen Industriegiganten wie IBM oder Microsoft. Und doch war Solarwinds der Katalysator für eine Reihe von Netzwerkverletzungen, wie es sie seit langem nicht mehr gegeben hat, wenn überhaupt.
Was ist passiert?
Mehrere Ministerien wurden kompromittiert, darunter das Finanzministerium, das Ministerium für Innere Sicherheit, das Handelsministerium, das Verteidigungsministerium, das Energieministerium, das Staatsministerium und das Gesundheitsministerium. Auch FireEye, ein großes Cybersicherheitsunternehmen, wurde kompromittiert. In der Privatwirtschaft wurden unter anderem auch Cisco, Intel, VMware, Microsoft und Nvidia angegriffen. Insgesamt, Tausende von Unternehmen sind möglicherweise von der Malware infiziert worden.. Sie beschränkte sich nicht auf die Vereinigten Staaten; auch Europa, Asien und der Nahe Osten waren betroffen.
Was bedeutet das für Sie und mich?
Wenn Sie nicht im Bereich der Cybersicherheit tätig sind (und wenn doch... haben Sie unser Beileid), sind die Hauptsorgen: Beeinträchtigung der Regierung, Diebstahl von geistigem Eigentum und Unterbrechung des Betriebs. Genauer gesagt, folgen die Hardware-Daten auf die Mitarbeiterdaten, die wiederum auf die Unternehmensdaten folgen. Mit Hardware-Zugang können böswillige Akteure beispielsweise die Energieinfrastruktur stören.
Aber die vielleicht wichtigste Erkenntnis ist, dass sogar ein Top-Cybersicherheitsunternehmen angegriffen wurde. Sie erhalten Punkte dafür, dass sie den Einbruch entdeckt haben, als es sonst niemand getan hat, aber wenn sie ihn nicht verhindern konnten, welche Chance haben dann durchschnittliche Teams?
In dieser Hinsicht halte ich es für sinnvoll, sich noch einmal vor Augen zu führen, wie es dazu gekommen ist.
Die Täter erstellten eine Windows Installer Patch-Datei, die eine gefälschte Version einer Standard-SolarWinds-Update-Datei enthielt. Anschließend stellten sie diese beschädigten Updates mit einer legitimen Signatur auf die SolarWinds-Website. Sobald SolarWinds das Update für seine Orion-Software heruntergeladen hatte, lud die (normale) BusinessLayerHost.exe die trojanisierte DLL-Datei. Nach ein paar Wochen versucht der Trojaner, eine avsvmcloud[.]com-Subdomäne aufzulösen. Das DNS antwortet daraufhin mit einem CNAME-Eintrag, der auf einen Command-and-Control-Server abzielt. Im Wesentlichen werden die Hostnamen gültiger Dienste verwendet. Der Datenverkehr zu den bösartigen Domänen ist als SolarWinds-API-Daten getarnt.
Von dort aus hatten sie Zugang zu einer Software, die ihnen von Haus aus Zugriff auf die Netzwerkkommunikation der SolarWinds-Clients bietet.
Warum wurden sie nicht entdeckt?
Sie wurden nicht ohne Grund als hochqualifizierte Hacker eingestuft. Sie warteten zwei Wochen lang, bevor sie angriffen. Sie nutzten routinemäßige Wartungsaufgaben, um sich einzuschleichen. Nachdem sie tiefer eingedrungen waren, fügten sie in normale Prozesse reinen Speichercode ein, um einen Teil des Systems zu ersetzen, verschafften sich unversehrte Anmeldedaten und ersetzten dann ihren bösartigen Teil durch den normalen Teil.
Wenn es eine Technik gab, um ihre Spuren zu verwischen, haben sie sie eingesetzt. Sie bewerteten die Sicherheit der Systeme jedes SW-Kunden einzeln, einen nach dem anderen, und passten dann jede Verletzung auf den Kunden an.
Die Zeitachse des Angriffs
2019: Angriffsvorbereitungen
4. September
Unbekannte, hochqualifizierte Cyber-Angreifer greifen auf SolarWinds zu.
12. September
Böswillige injizieren ihren SUNBURST-Code in die Orion-Plattformsoftware, um einen ersten Test durchzuführen. Mit Hilfe von US-Servern und stark getarntem Netzwerkverkehr konnten sie die Entdeckung durch jedes Netzwerk, das die Orion-Plattform nutzt, vermeiden.
2020: Der Angriff beginnt
Februar 20
Nach der Aktualisierung des SUNBURST-Codes führen die Angreifer ihren Angriff durch. In den folgenden Monaten gelingt es ihnen, in die einzelnen Netzwerke vieler Orion-Nutzer einzudringen.
Juni 4
Die Hacker extrahieren ihren Trojaner-Code aus SolarWinds und verwischen so ihre Spuren.
Dezember 8
Ein Cybersecurity-Unternehmen, FireEye, gibt bekannt, dass Hacker ihre Penetrationstest-Tools gestohlen haben ("Red Team"-Tools, mit denen sie die Cybersicherheitsabwehr ihrer Kunden testen) und warnt andere Unternehmen vor dem entsprechenden Risiko, wenn diese Tools gegen sie eingesetzt werden.
Dezember 11
FireEye hat weitere Untersuchungen angestellt und festgestellt, dass SolarWinds die Ursache für den Einbruch war. Sie entdeckten, dass die Updates der Orion-Plattform mit einem Trojaner versehen waren, der es ihnen ermöglichte, SolarWinds-Clients aus allen Softwareversionen von März 2020 bis Juni zu infiltrieren.
Dezember 12
FireEye teilt SolarWinds mit, dass seine Orion-Plattform von Hackern angegriffen wurde. Das Weiße Haus und der Nationale Sicherheitsrat halten eine Sitzung ab, um das Ausmaß des Hackerangriffs auf Regierungsorganisationen zu ermitteln.
Dezember 13
Nach Prüfung der Situation erklärt die CISA (Cybersecurity and Infrastructure Security Agency) einen Notauftrag für alle Regierungsinstitutionen, alle SolarWinds Orion-Aktivitäten zu entfernen, da die nationale Sicherheit weiterhin gefährdet ist.
FireEye berichtet, dass ein Cyber-Angreifer die Lieferkette für SolarWinds-Updates als Waffe eingesetzt hat und in der Folge weltweit Kunden angreift.
SolarWinds beschreibt den Angriff auf seine Orion-Plattform und bietet seinen Kunden Methoden zum Schutz ihrer Netzwerke. Auch Microsoft äußert sich zu den Auswirkungen des SolarWinds-Hacks auf seinen Kundenstamm.
Reuters bringt die SolarWinds-Story an die Öffentlichkeit und nennt Russland als Hauptverdächtigen und das unbestimmte Ausmaß des Angriffs auf die US-Regierung.
Dezember 15
Der Senat fordert das FBI und die CISA auf, den Fall SolarWinds zu untersuchen und dem Kongress mehr Informationen über den Cyberangriff auf die Regierung zur Verfügung stellen.
Ein Software-Patch wird von SolarWinds bereitgestellt; sie übermitteln zusätzliche Informationen über den Angriff.
Journalisten veröffentlichen Informationen darüber, dass der Heimatschutz, die NIH, das DHS und andere Opfer geworden sind.
Dezember 16
Die Cybersicherheits-Community ermittelt die von den Cyberangreifern verwendete Domäne sowie einen Kill Switch zur Deaktivierung des SUNBURST-Codes.
Das FBI beginnt mit der Untersuchung der Hintergründe des Angriffs, um das Risiko künftiger Angriffe zu verringern.
Die New York Times erklärt, welches Risiko für die Sicherheit unserer Nation besteht.
SolarWinds erklärt, dass seine Managed-Service-Provider-Tools nicht kompromittiert wurden, obwohl Schritte unternommen wurden, um weitere Verstöße zu verhindern, da alle Partner benachrichtigt wurden, ihre digital signierten Zertifikate zurückzusetzen, da SolarWinds alte Anmeldedaten widerrufen hat.
Dezember 17
Das Infosec-Team von Microsoft gibt bekannt, dass seine Orion-Software kompromittiert wurde, das Risiko aber beseitigt ist. Sie berichten, dass ihr System nicht kompromittiert zu sein scheint.
19. Dezember
Nach Angaben der Medien und von Cybersicherheitsanalysten wurden die Verteidigungssysteme von rund 200 Unternehmen und Institutionen angegriffen.
22. Dezember
Weitere SolarWinds-Sicherheitsupdates werden verfügbar.
Heiligabend
SolarWinds erklärt, wie seine neuesten Sicherheitspatches und -korrekturen den Orion-Supernova-Angriff adressieren.
30. Dezember
Die Agentur für Cybersicherheit und Infrastruktur weist die anderen Regierungsstellen an, ihre Orion-Software auf die Version 2020.2.1HF2 zu aktualisieren.
2021: SolarWinds Nachwehen
Januar 5
Januar 5
Januar 6
Ein Reporter der NYT schreibt, dass die CI/CD-Plattform TeamCity von JetBrians möglicherweise in den russischen Cyberangriff verwickelt ist. Genauer gesagt, hilft der TeamCity-Server Entwicklern bei der Erstellung fertiger Software, darunter auch SolarWinds-Software.
Der CEO von JetBrians bestreitet, dass eine Untersuchung im Gange ist, und erklärt, dass Benutzerfehler und Fehlkonfigurationen sehr wohl zu einem Verstoß geführt haben können.
SolarWinds holt seinen früheren CEO als Interimsberater hinzu, um die Folgen des Angriffs zu bewältigen.
Januar 8
SolarWinds weitet seine PR-Bemühungen aus, um Rückschläge abzumildern, und erklärt, dass das Unternehmen seine Cybersecurity-Ressourcen ausbauen und seine Bemühungen erweitern wird. SolarWinds holt Sicherheitsberater ins Haus, die früher für Facebook und die CISA gearbeitet haben.
Januar 11
Kaspersky zieht einen Vergleich zwischen dem SolarWinds-Angriff und früheren Aktivitäten des russischen Sicherheitsdienstes Cyberkriegskomplizen, der Turla-Gruppe.
Crowdstrike beschreibt, wie die russischen Angreifer ein Tool namens SUNSPOT verwendeten, um die SolarWinds-Systeme anzugreifen und ihre SUNBURST-Backdoor zu erstellen.
SolarWinds stellt weitere Mitglieder des InfoSec-Teams ein, und es werden weitere Informationen über den Angriff veröffentlicht.
SolarWinds: Zukünftige Auswirkungen auf die Datensicherheit und die InfoSec-Branche.
Seit vielen Jahren hat es keinen so aufsehenerregenden Cyberangriff mehr gegeben wie den von SolarWinds (soweit wir wissen).
Auch wenn wir vielleicht nie das ganze Ausmaß des Angriffs erfahren werden, scheint der Konsens zu sein, dass es sich um einen vielschichtigen Angriff auf die Lieferkette handelte. Infiltration des CI/CD-Servers in den Software-Build von Solarwinds -> Zugang zur Aktualisierung der Software -> Zugang zur Orion-Plattform der Clients -> Manuelles Eindringen in die Client-Netzwerke.
Bundesregierungen wurden kompromittiert. Unternehmen auf der ganzen Welt wurden kompromittiert. Um künftige Angriffe zu verhindern, brauchen wir eine bessere Kommunikation zwischen Cybersicherheitsteams. Durch den Austausch von Informationen über aktuelle Bedrohungen können wir verhindern, dass Angriffe wie dieser eskalieren.
Angriffe auf die Lieferkette werden nicht verschwinden; die Software von Drittanbietern lässt sich leicht manipulieren, um die Anwendungen zu infiltrieren, mit denen sie verbunden sind. Außerdem wird sie weniger routinemäßig untersucht und berücksichtigt als interne Software. Infolgedessen werden die Unternehmen sicherlich ihre Abwehrmaßnahmen gegen den Zugriff von Drittanbietern verstärken. Es bleibt abzuwarten, ob dies ausreichen wird, um ähnliche Angriffe zu verhindern.
JetBrains wurde zwar nicht offiziell als einer der Angriffsvektoren bezeichnet, doch die Tatsache, dass sie nicht ausgeschlossen werden können, unterstreicht die Bedeutung des Schutzes der Softwareentwicklungsumgebung. SAST-, DAST- und SCA-Tools für Sicherheitstests werden sich ausweiten und allgegenwärtig werden, um Risiken im Keim zu ersticken, bevor sie zu einem größeren Problem werden können.
Als Hypersegmentierung und Null Vertrauen müssen sich die Teams an die neuen Einschränkungen anpassen und neue Wege finden, um den Betrieb und die Kommunikation innerhalb des Netzes aufrechtzuerhalten.
Schließlich ist es von entscheidender Bedeutung, sichere IT-Lebenszyklusverfahren zu unterhalten, um physische Datenträger vor Datenlecks zu schützen. Im Zuge der Unterstützung unserer ITAD-Kunden haben wir zahlreiche Logins und digitale Zertifikate auf harmlosen Medien wie Flash-Laufwerken gefunden und gesichert, die versehentlich in Servern zurückgelassen wurden. Fordern Sie ein kostenloses Angebot an um Ihre Marke zu schützen und Kapital aus Ihren IT-Ressourcen zurückzugewinnen.