Der SolarWinds Hack – Pearl Harbour ohne Flugzeuge

von VPNHaus | 21.01.2021

Als ob 2020 nicht schon aus den bekannten Gründen unangenehm genug war, legte der SolarWinds-Hack in den letzten Tagen des vergangenen Jahres noch einmal eine Schippe drauf. Eine – vermutlich – durch den russischen Staat geförderte Hackergruppe hatte es im Lauf des letzten Jahres geschafft, in die Produkt-Repositories des Softwareherstellers SolarWinds einzubrechen und Schadsoftware in deren Netzmanagement-Software Orion einzubringen. In Folge aktualisierten Tausende von Kunden automatisiert ihre Programmbestandteile mit der verseuchten Version und öffneten ihr Netz für die Angreifer. Die Rede ist von fast 20.000 Organisationen, in denen sich Ende des Jahres der Liebesgruß aus Russland breit gemacht hatte. Bisher wurden mindestens 250 Netze gefunden, in denen die Hacker auch tatsächlich vorbei- und sich umgeschaut haben. Darunter illustre Namen wie mehrere amerikanische Forschungs- und Verteidigungseinrichtungen, Microsoft und der Sicherheitsanbieter FireEye, der den Angriff als erstes bemerkte. Dass die installierte Schadsoftware in fast 20.000 Organisationen monatelang nicht auffiel, ist schon schlimm genug. Dass ein paar Hundert Firmen nicht merkten, dass Hacker aktiv im Netz unterwegs waren, ist dramatisch.

Nach wie vor kommen neue Erkenntnisse ans Licht. Um die komplette Geschichte zu erfahren, falls das überhaupt möglich ist, ist noch einiges an Forensik nötig. Fest steht bereits, dass FireEye Anfang Dezember auf verdächtige Aktivitäten in seinem Netz aufmerksam wurde. Die Analysten konnten einen aktiven Eindringling verifizieren und mussten Datenabfluss feststellen. FireEye veröffentlichte alle bekannten Fakten zu der Attacke und zog zunächst Spott auf sich: „Ein Sicherheitshersteller hat sich hacken lassen…“ Relativ bald wurde allerdings klar, dass FireEye mitnichten das einzige Opfer war, vielmehr hatte FireEye als einziger die Angreifer entdeckt. Jedes Unternehmen, dass das entsprechende Update seit Anfang 2020 automatisiert einspielte, holte sich damit einen Trojaner ins Netz, der, je nach Interesse der Hacker, verschiedene Aktivitäten nach sich zog. Die als SUNBURST bezeichnete Backdoor ist ein Bestandteil der ordnungsgemäß digital signierten DLL SolarWinds.Orion.Core.BusinessLayer. Nach der Installation der Backdoor wartete sie noch bis zu zwei Wochen mit ihrer ersten Kommunikationsaufnahme, die sie als legitime Orion-Aktivität per HTTP tarnt. Danach führte sie Dateitransfers und ausführbare Programme aus, fertigte Profile befallener Systeme an, konnte Prozesse anhalten und die komplette Maschine neu starten. Daten und Ergebnisse von Scans speichert SUNBURST in Config-Dateien, so dass die Datenzuwächse nicht auffallen. Zudem erkennt SUNBURST aktive Anti-Malware-Programme und umgeht sie. Dabei halfen die Opfer unfreiwillig mit. Ein Support-Dokument von SolarWinds empfahl, die Verzeichnisse von SolarWinds Orion großzügig von der Überwachung durch AV-Software auszunehmen, weil das zu Problemen führen könnte.

Wie gesagt, noch sind viele Details unklar, allerdings beunruhigen die Ausführungen eines Sicherheitsanalysten von Ende 2019. Er hatte in einem GitHub-Repository Credentials für SolarWinds-FTP-Server gefunden und den Hersteller informiert. Der versicherte zwar, dass das Problem behoben wurde, aber die Daten lagen wohl schon einige Wochen öffentlich zugänglich im Repository. Viele der Betroffenen sind im Moment noch dabei, den tatsächlichen Schaden zu evaluieren. Mit Corona und der Präsidentenwahl hatten die meisten Organisationen in diesem Jahr ohnehin genug um die Ohren. Aber eins ist jetzt schon klar: Der SolarWinds-Hack wirft im Prinzip die Informationssicherheitsstrategie der meisten Unternehmen über den Haufen. Wenn Code von Trusted-Parties so einfach gehackt, eingeschleust und dann ausgenutzt werden kann, ohne dass es die betroffenen Organisationen merken, ist alles, was bisher geübte Praxis war, obsolet.

Ein Kommentator bezeichnete den Hack bereits als das „Pearl Harbor der amerikanischen IT“. Das klingt dramatisch, ist es aber auch. Niemand kann die Dutzenden bis Hunderten von Programmen, die automatisch Updates aus dem Netz nachladen, vorab kontrollieren. Eine Staging-Umgebung für jede Applikation, mit Tests und Netzwerk-Analyse vor dem offiziellen Roll-Out, ist ein organisatorischer Alptraum. Und praktisch jeder feindliche Programmierer baut eine Zeitverzögerung in seine Schadsoftware ein, damit diese erst nach Wochen oder Monaten aktiv wird. Würde ein solcher Angreifer beispielsweise Microsofts Update-System kompromittieren wären jeden ersten Dienstag im Monat Zigmillionen von IT-Systemen in der Hand der Hacker. So abwegig ist das nicht. Microsoft ist – natürlich – eine der Firmen, die von den Hackern explizit heimgesucht wurden. Laut Firmenangaben hatten die Angreifer Einsicht in den Windows-Sourcecode! Wie uns Microsoft versichert, war es nur lesender Zugriff und es gibt keine Hinweise darauf, dass etwas verändert wurde. Dieses Mal. Aber was, wenn der nächste Angriff erfolgreicher ist?

Möglicherweise löst der SolarWinds-Hack tatsächlich ein Umdenken aus. Während Hacks normalerweise, selbst wenn sie hohe Strafen nach sich zogen, schnell und ohne größere Auswirkungen abgehakt wurden, scheinen sich die Organisationen dieses Mal tatsächlich zu fürchten. Die finnischen Investment-Analysten von Sijoitusrahastot gehen davon aus, dass der SolarWinds-Hack zu einer Erhöhung des IT-Security-Budgets um 20% im Jahr 2021 führen wird. Das sind massive Zahlen, schon heute liegt der Gesamtwert der Cybersecurity-Ausgaben bei mehr als 43 Milliarden US-Dollar. Zum Vergleich: Zwischen 2019 und 2020 wuchsen die Ausgaben lediglich um etwas mehr als 5 Prozent. Organisationen balancieren immer zwischen restriktiven Sicherheitsmaßnahmen und möglichst hoher Produktivität. Dieser Balanceakt ist noch schwieriger geworden. Wenn Akteure legitime Software missbrauchen können, und das offensichtlich ohne große Schwierigkeiten, müssen die Konzepte „Assume Breach“ und „Zero-Trust“ verpflichtend werden. Aber ein Konzept umzusetzen, dass alle Bereiche des Unternehmens berührt, ist etwas anderes, als eine neue Firewall ins Rack zu schieben. Es erfordert den Willen und die Bereitschaft aller Stakeholder im Unternehmen, ein ausreichendes Budget und das Gefühl für die Dringlichkeit der Situation.