Seit geraumer Zeit findet ein systematischer Angriff auf mehrere US-Ministerien und US-Unternehmen statt, der über Monate unentdeckt geblieben ist. Im Dezember 2020 stellte das Cybersicherheits-Unternehmen FireEye im eigenen System Spuren eines Angriffs fest. Erst durch diese Entdeckung kam man den Angreifern auf die Spur. Bei FireEye wurden unter anderem Tools für sogenannte Pentrationstests gestohlen, die dazu dienen Angriffe auf ein Netzwerk von außen zu simulieren. Aber auch Informationen über Kunden von FireEye wurden abgegriffen. Zu den Opfern des Angriffs zählten hauptsächlich große US-Behörden wie z.B. die US-Steuerbehörde, das Verteidigungsministerium, die Aufsicht über Atomkraftwerke sowie das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit.
Mittlerweile wurde rekonstruiert, dass die Angreifer über die Orion-Software der Firma SolarWinds in die Systeme eindringen konnten. Es handelt sich hierbei um eine in der USA weit verbreitete Netzwerkmanagement-Software, die von wichtigen Behörden und großen Unternehmen (so auch bei FireEye) genutzt wird. SolarWinds war das erste Ziel der Angreifer. Durch die Manipulation der Orion-Software wurde anschließend eine Schadkaskade losgetreten und nach und nach die Kunden des Unternehmens infiziert. Man spricht hier vom „ersten Angriffssektor“.
Im Rahmen eines regulären Sicherheits- und Softwareupdates wurde die Sicherheitslücke „Sunburst“ auf den Systemen der SolarWinds-Kunden installiert und somit die Hintertür für die Angreifer geöffnet. Mittlerweile ist mit „Supernova“ sogar noch eine zweite Sicherheitslücke bekannt geworden, deren Urheber allerdings eine andere Angreifer-Gruppe zu sein scheint. Insgesamt wurde „Sunburst“ auf Systeme von bis zu 18.000 Nutzern geschleust, allerdings kompromittierten die Angreifer nach derzeitigen Ermittlungsstand vor allem die US-Regierungsbehörden und große US-Unternehmen (letztere insbesondere im IT- und Softwarebereich). Aktuell wird noch daran gearbeitet, auch Opfer im Privatbereich zu identifizieren.
Die US-Regierung bewertet den Angriff derzeit als Spionageakt, der nicht auf die breite Masse ausgerichtet war sondern konkrete Ziele im Visir hatte. In einer gemeinsamen Mitteilung durch die Bundespolizei FBI, den Geheimdienst NSA, die Cybersicherheitsbehörde CISA und das Direktorat der Nachrichtendienste ODNI wurde Russland als Angreifer benannt. Hierbei steht insbesondere die Gruppe APT 29 im Fokus der Sicherheitsbranche. Hierbei handelt es sich um eine ganz auf fortgeschrittene elektronische Nachrichtenaufklärung und Netzwerkspionage ausgerichtete Einheit des russischen Auslandsgeheimdienstes SVR. Die CISA erweiterte ihren Warnungskatalog und bewertet den Angriff als keine gewöhnliche Spionageaktion, sondern als den Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.
Auffällig ist an den Angriff in jedem Fall die Vorgehensweise der Angreifer, die sich sehr bemüht haben möglichst lange „unter dem Radar“ zu bleiben. In der heisehow vom 07.01.2021 bemerken die Experten, dass die Angreifer durch die Hintertür ins System gelangt sind, sich dort allerdings erst einmal nur umgeschaut hätten und dann nach und nach kleine Änderungen an Quellcode vorgenommen hätten, sodass weder die einzelnen Anwender noch die IT-Administration etwas bemerkt hätte. Nur durch die Expertise beim Cybersicherheits-Unternehmen FireEye sei der Angriff überhaupt an die Öffentlichkeit gekommen, ansonsten wäre er wahrscheinlich noch mehrere Monate unbemerkt weitergegangen.
Und es geht sogar noch weiter: Vor kurzem sind weitere Spuren der Angreifer auch in Netzen aufgetaucht, in denen die Orion-Software gar nicht eingesetzt wurde. So wurde z.B. bei Microsoft festgestellt, dass die Angreifer bis zum Quellcodes der Software, für die Verwaltung der Azure-Cloud, vorgedrungen waren. Wird in diesem Zusammenhang der Cloudsystem-Weltmarktanteil von Microsoft betrachtet, der derzeit bei 18% liegt, wird das Schadensausmaß deutlich. Microsofts Azure-Cloud ist derzeit nach Amazon das am meisten verbreitete System. Ebenfalls von diesem zweiten Angriffssektor betroffen sein, soll das tschechische Unternehmen JetBrains, dessen Software-Distributionssystem TeamCity von 80 Prozent der Top 100 US-Fіrmen verwendet wird. Sowohl bei JetBrains als auch bei Microsoft sollen mit der Malware verseuchte Software-Updates über das Distributionsnetz der Unternehmen in den Netzwerken der Kunden regulär installiert worden sein.
Erschreckend ist an diesem Cyberangriff insbesondere, dass er eine beunruhigende Qualität angenommen hat und so im Verborgenen agiert wird, dass nicht erkennbar ist, wie viele Unternehmen und Behörden über welche Schnittstellen außerdem betroffen sind.
Quellen:
- heiseshow (07.01.2021): #heiseshow: Cyberattacke über SolarWinds – wie angreifbar sind wir?, abgerufen unter https://www.heise.de/news/heiseshow-Cyberattacke-ueber-SolarWinds-wie-angreifbar-sind-wir-5004679.html
- Artikel „Cyber-Attacke über SolarWinds: Auch US-Nachrichtendienste beschuldigen Russland“, abgerufen am 14.01.2021 unter: https://www.heise.de/news/Cyber-Attacke-ueber-SolarWinds-Auch-US-Nachrichtendienste-beschuldigen-Russland-5004622.html
- Artikel „SolarWinds: Zweite, unabhängige Backdoor-Malware für Orion-Plattform entdeckt“, abgerufen am 14.01.2021 unter: https://www.heise.de/news/SolarWinds-Zweite-unabhaengige-Backdoor-Malware-fuer-Orion-Plattform-entdeckt-4996505.html
- Radio FM 4, Artikel „Cyberangriff auf die USA eskaliert immer weiter“, abgerufen am 14.01.2021 unter: https://fm4.orf.at/stories/3010878/?utm_source=pocket-newtab-global-de-DE