[English]Erinnert sich noch jemand an den Lieferkettenangriff auf die Orion-Software der Firma SolarWinds im Jahr 2020? Das sendete Schockwellen durch die IT-Landschaft, weil massenhaft IT-Systeme gehackt wurden. Jetzt kommt heraus, dass das US-Justizministerium sechs Monate bevor das Ganze öffentlich wurde, den Vorfall in eigenen Netzwerken bemerkte, die Brisanz aber nicht erkannte. Auch Größen wie Microsoft, Mandiant oder SW, die hinzugezogen wurden, schauten auf den Vorfall bei SolarWinds, ohne sich sofort der Brisanz bewusst zu werden. Dies ermöglichte den Angreifern sich in Ruhe auf den kompromittierten Systemen umzusehen.
Ich hatte ja ausgiebig hier im Blog über den SolarWinds-Hack der Orion-Software berichtet, siehe den Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma plündern und die am Artikelende verlinkten Beiträge. Auch viele US-Behörden wurden durch die russischen Angreifer in ihren IT-Systemen infiltriert (siehe US-Finanzministerium und weitere US-Behörde gehackt). Das Ganze ging von einem Lieferkettenangriff auf die SolarWinds Orion-Software aus, die in vielen Unternehmen eingesetzt wurde.
Nachfolgender Tweet deckt nun auf, dass sowohl das US-Justizministerium als auch Größen wie Microsoft, Mandiant oder SW auf den Vorfall schauten, ohne wiklich dessen Brisanz zu erkennen. Die IT-Spezialisten hatten Anzeichen für einen Einbruch in die IT-Systeme gesehen. Aber erst sechs Monate später gab es von Mandiant eine Offenlegung der Kampagne der Angreifer. Wired hat diese Geschichte im Beitrag The DOJ Detected the SolarWinds Hack 6 Months Earlier Than First Disclosed aufgedeckt.
Ministerium entdeckt den Hack
Bereits Ende Mai 2020 bemerkte das US-Justizministerium russische Hacker in seinem Netzwerk, erkannte aber erst nach sechs Monaten die Bedeutung des Fundes, schreibt Wired. Der Verdacht wurde ausgelöst, als das IT-Personal des Ministeriums ungewöhnlichen Datenverkehr entdeckte. Dieser Datenverkehr ging von einem seiner Server aus, auf dem eine Testversion des Orion-Softwarepakets von SolarWinds lief, so sagten Quellen, die mit dem Vorfall vertraut sind. Die Software, die von Systemadministratoren zur Verwaltung und Konfiguration von Netzwerken verwendet wird, kommunizierte extern mit einem unbekannten System im Internet.
Das Justizministerium beauftragte das Sicherheitsunternehmen Mandiant mit der Untersuchung, ob der Server gehackt worden war. Zusätzlich wurde auch Microsoft hinzugezogen, obwohl nicht klar ist, warum der Softwarehersteller ebenfalls in die Untersuchung einbezogen wurde. Die Spezialisten der beauftragten Firmen vermuteten, dass die die Hacker direkt in den DOJ-Server eingedrungen waren, möglicherweise durch Ausnutzung einer Schwachstelle in der Orion-Software.
Die Software-Spezialisten wandten sich an SolarWinds, um Unterstützung bei der Untersuchung zu bekommen. Aber die Entwickler von SolarWinds konnten keine Schwachstelle in ihrem Code finden. Im Juli 2020, als das Rätsel immer noch nicht gelöst war, wurde die Kommunikation zwischen den Ermittlern und SolarWinds eingestellt. Einen Monat später kaufte das DOJ das Orion-System, was darauf hindeutet, dass die Behörde davon überzeugt war, dass von der Orion-Suite keine weitere Bedrohung ausging, so die Quellen.
Im Dezember 2020 wird das Ausmaß deutlich
Erst im November 2020 bemerkte Mandiant, dass man selbst gehackt worden war. Bei der Untersuchung dieses Vorfalls stellte sich dann heraus, dass der Hack über einen Lieferkettenangriff auf die SolarWinds Orion-Software erfolgt war. Im Dezember 2020 schlug das Ganze dann riesige Wellen, als Mandiant an die Öffentlichkeit ging. Denn nun wurde bekannt, dass russische Hacker den Softwarehersteller SolarWinds gehackt und eine Hintertür in die Orion-Software eingebaut hatten. Die Orion-Software wurde von rund 18 000 Kunden des Unternehmens genutzt. Die Hintertür kam quasi per Update der SolarWinds Orion-Software auf die Systeme.
Diese kompromittierte Orion-Software infizierte anschließend mindestens neun US-Bundesbehörden. Darunter befand sich auch das US-Justizministerium (DOJ), das Verteidigungsministerium (DoD), das Heimatschutzministerium und das Finanzministerium, sowie führende Technologie- und Sicherheitsunternehmen wie Microsoft, Mandiant, Intel, Cisco und Palo Alto Networks. Die Hacker waren zwischen vier und neun Monaten in diesen verschiedenen Netzwerken aktiv, bevor die Kampagne von Mandiant aufgedeckt wurde.
So viel zu „wir sorgen für eure Sicherheit“ – es ist zwar komplex, solche Lieferkettenangriffe aufzudecken. Aber die Vorstellung, eine gute Virenschutzsoftware, ggf. mit KI-Unterstützung, wird das schon abwehren, ist unter diesem Umständen naiv. SIEM-Systeme (Security Information and Event Management) helfen ggf. zwar, ungewöhnliche Aktivitäten aufzudecken. Aber die Analyse muss immer noch von Spezialisten erfolgen, und dann hängt es davon ab, wie schnell die den Fall durchdringen. Und der Fall zeigt wieder einmal, wie wichtig ein Austausch von Informationen zwischen Sicherheitsspezialisten sowie die frühzeitige Information des Fachpublikums ist.
Ergänzung: Wired hat einen weiteren Artikel zum Thema mit weiteren Insides veröffentlicht.
Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch‘ und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten
SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber
Microsoft Insides zum SolarWinds Orion SunBurst-Hack
SolarWinds-Angreifer nehmen Microsoft-Partner ins Visier – fehlende Cyber-Sicherheit bemängelt
SolarWinds-Kunden sollten Web Help Desk entfernen
Bitte bei der Sache bleiben. Es gab und gibt keine Beweise für einen russischen Ursprung. Das sind nur Mutmaßungen gemischt mit etwas Propaganda. Daher bitte korrekt formulieren: „mutmaßlicher russischer Angriff“. Danke.
Eine Attributierung ist in den seltensten Fällen möglich. Schon ereher bei Ransomware, wenn die Angreifer Forderungen stellen.
Und das Schlangenöl hat noch einen Nachteil:
Trotz seines sehr schlechten Kosten/Leistungs Verhältnis (1Euro durch 0 Leistung ergibt einen verdammt großen Quotienten…)
hat es sogenannte „Risiko-Kompensation“
zur Folge. „Was kann uns schon passieren?
Wir haben SIEM DLP DLD DDP DPR AI für tausende Euro im Monat Schutzgebühr. Warum sollte wir ein Gefühl für unsere Maschinen entwickeln? Lasst uns lieber mit Cheffe Golf spielen als Logfiles zu filzen.
Man erinnere an den Daimler Chef Entwickler der aus diesem Grund keine Sicherheitsmaßnahmen einbauen wollte, sondern vorschlug, in die Mitte des Lenkrades einen Speer einzubauen, der genaue auf das Herz des wies.
Grotesk, aber auch genial.
Ohne eine solche Software (SIEM DLP DLD DDP DPR AI) geht es nicht, wenn man mehrere hundert/tausend Benutzer, Server usw. hat. Sich alleine durch das Event-Log der Server und Workstations zu wühlen ist nicht machbar. Und ein SIEM, was die Events alleine mit der MITRE Matrix bewertet, erzeugt zu viele Fehlalarme.
ich wünschte die Leute vom Heiseforum würden nicht hier auch noch das Niveau mit solchen Stammtischparolen senken.