Malware per Update: Sunburst wird uns noch lange beschäftigen.

Stellen Sie sich vor, dass beim nächsten automatischen Betriebssystem-Update für Ihren PC unbemerkt ein bösartiges Programm mitgeliefert wird, das Ihr Gerät für Hacker zugänglich macht. Genau das ist den Usern der SolarWinds Orion-Plattform passiert. Updates für deren IT-Management-Software waren verseucht und haben in der Folge die IT-Infrastruktur von mehr als 18‘000 Unternehmen und Regierungsstellen kompromittiert. Jetzt gibt es einen detaillierten Untersuchungsbericht über die Vorkommnisse und ein Tool, um herauszufinden, ob die eigene Infrastruktur betroffen ist.

  #Cyber Defense Center   #Security Notfallkonzept   #Security Awareness   #Security as a Service   #Security Risk Assessment   #SIEM   #Vulnerability Management  

Anfangs Dezember 2020 war SolarWinds an der Börse fast 7,4 Milliarden Dollar wert. Ein grosses Unternehmen also, das Software für andere grosse Firmen, meist Fortune-500-Unternehmen und Regierungsorganisationen anbietet. Diese schwergewichtige und prominente Kundschaft machte SolarWinds zu einem perfekten Ziel für Hacker, deren Einbruch in die Systeme des Unternehmens anfangs des letzten Jahres neun Monate lang unentdeckt blieb, bis Mitte Dezember.

 

Es begann im März 2020

Gemäss Medienberichten hatte SolarWinds bereits im März seinen Kunden verseuchte Software-Updates zukommen lassen. Erst am 13. Dezember wurde dann zum ersten Mal über die Cyberattacke berichtet. Und schon im ersten Report wurde Russland für den Angriff verantwortlich gemacht, was vom russischen Aussenministerium sogleich zurückgewiesen wurde. Weitere Berichte folgten Schlag auf Schlag und es wurde klar, dass es immer mehr zahlreiche hochkarätige Betroffene gibt: Das Wall Street Journal nannte das Pentagon, das Heimatschutzministerium, das Aussenministeriums, das Energieministeriums, die National Nuclear Security Administration und das Finanzministeriums. Ausserdem grosse Unternehmen wie Microsoft, Cisco, Intel und Deloitte.

 

Die Hacker waren nur an bestimmten Zielen interessiert

Die Malware, die mit Orion-Updates in die IT-Infrastruktur der SolarWinds-Kunden eingeschleust wurde, heisst Sunburst. Scheinbar  waren die meisten der mit Sunburst versorgten SolarWinds-Kunden für die Hacker nicht interessant. Nur bei ausgewählten Organisationen schleusten die Hacker zusätzliche Malware ein, um den Zugriff im lokalen Netzwerk und auf die Cloud-Ressourcen des Unternehmens sicherzustellen. Die Hacker konzentrierten sich dabei vor allem auf die Microsoft 365-Infrastruktur. Obwohl die Angreifer wählerisch waren, hatte die Attacke enorme Folgen für die Datensicherheit tausender SolarWinds-Kunden, zu denen gemäss den Angaben des Unternehmens die meisten der amerikanischen Fortune-500-Unternehmen, die Top 10 der US-Telekommunikationsanbieter und die amerikanische Regierung gehören. Auch für die Börsenkapitalisierung von SolarWinds hatte diese beispiellose Attacke äusserst negative Folgen: Die Aktien stürzten ab; das Unternehmen ist zum jetzigen Zeitpunkt noch knappe fünf Milliarden US-Dollar wert – gut zwei Milliarden lösten sich in Luft auf.

 

Ein Tool gegen die Hacker

Auch die Cybersecurity-Firma FireEye, die ihr Geld damit verdient, hochkarätige Kunden zu schützen war vom Hackerangriff betroffen[i]. Experten von FireEye waren es denn auch, die den Einbruch bemerkten und den Alarm auslösten[ii] – nicht etwa das Cyber-Kommando des amerikanischen Verteidigungsministeriums, das mit Milliarden von Dollar finanziert wird und gemäss New York Times vom Angriff völlig überrumpelt worden sei[iii]. Diese Woche hat nun FireEye einen Bericht veröffentlicht, der die von den SolarWinds-Hackern verwendeten Techniken detailliert beschreibt[iv]. FireEye hat die Untersuchungen zum SolarWinds-Hack zusammen mit Microsoft und der Sicherheitsfirma CrowdStrike angeführt. Zusammen mit dem Bericht haben die FireEye-Forscher auch ein kostenloses Tool namens Azure AD Investigator auf GitHub veröffentlicht, mit dem Unternehmen eruieren können, ob die Hacker auch in ihre Netzwerke eingedrungen sind[v]. SolarWinds Corp. versichert inzwischen, dass die Sunburst-Malware von der Download-Seite entfernt worden sei. Man gehe davon aus, dass die Sunburst-Schwachstelle keine anderen SolarWinds-Produkte betreffe.

 

Die Cybersicherheit maximieren

Noch sind nicht alle Auswirkungen des SolarWinds-Hack absehbar. Tom Bossert, ein Sicherheitsexperte der US-Regierung schrieb in der New York Times, es könne Jahre dauern, bis alle Netzwerke wieder gesichert seien. In der Zwischenzeit ist es wichtig, die Cybersicherheit zu maximieren. Die Sicherheitsexperten der UMB können Sie dabei unterstützen. Erst wenn Ihr Netzwerk permanent überwacht wird, können Sie rasch auf Bedrohungen reagieren. UMB übernimmt mit dem Cyber Defense Center die gesamte Verantwortung für Ihre IT-Security. Unser Security Intelligence Team hat bereits die nötigen Schritte eingeleitet, um die IT-Infrastrukturen unserer Kunden gegen die neuen bekanntgewordenen Bedrohungen abzusichern. Wir machen Ihre IT-Umgebung sicher. Kontaktieren Sie uns.

 

[i] https://www.umb.ch/blog/news/detail/aus-den-tiefen-des-internets-hackerattacke-auf-cyber-security-firma

[ii] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[iii] https://www.nytimes.com/2020/12/14/us/politics/russia-hack-nsa-homeland-security-pentagon.html

[iv] https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

[v] https://github.com/fireeye/Mandiant-Azure-AD-Investigator