SolarWinds Hack

Wie gefährlich Supply-Chain-Angriffe sind

Im Dezember 2020 wurde ein Cyber-Angriff riesigen Ausmaßes bekannt. Kriminelle hatten es geschafft in die Systeme des Softwareanbieters SolarWinds einzudringen und ein mit Malware verseuchtes Update im Namen des Herstellers zu verbreiten. Diverse Organisationen rund um den Globus, die Produkte von SolarWinds einsetzten, waren dadurch von dem Angriff und der Schadsoftware betroffen.

Der Angriff wurde erstmals durch die US-Sicherheitsfirma FireEye öffentlich gemacht. Sie berichten darin von Einbrüchen in einige US-Behörden, darunter das US-Finanz- und Handelsministerium. Außerdem war die Sicherheitsfirma FireEye selbst von dem Angriff betroffen. Der Angriff wurde als so kritisch eingeschätzt, dass eine Sondersitzung des nationalen Sicherheitsrates der USA im Weißen Haus einberufen wurde.

FireEye selbst schreibt über das Ausmaß dieses Cyber-Angriffs: “Zu den Opfern gehören Regierungs-, Beratungs-, Technologie-, Telekommunikations- und Rohstoffunternehmen in Nordamerika, Europa, Asien und dem Nahen Osten. Wir gehen davon aus, dass es weitere Opfer in anderen Ländern und Branchen gibt”

Auch Microsoft bestätigte kurz darauf, von dem Angriff betroffen zu sein, da auch sie Softwarekomponenten von SolarWinds im Einsatz hatten. Die Angreifer konnten ins interne Netzwerk von Microsoft vordringen und auf den Quellcode mehrerer interner Projekte zugreifen. Laut Microsoft wurden aber nur wenige einzelne Dateien abgerufen. In ihrer Untersuchung des Vorfalls fanden sie heraus, dass die Angreifer gezielt nach Geheimnissen im Code suchten, durch die sie ihre Ausbreitung im Netzwerk erweitern wollten.

Die betroffenen Hersteller veröffentlichten kurz nach Bekanntgabe des Angriffs entsprechende Sicherheitsupdates, sowie Firewall- und Intrusion-Detection-Regeln, mit denen die Angreifer aufgespürt werden können.

Doch wie kann es eigentlich zu einem so gewaltigen Angriff kommen? Im Folgenden werden zwei Beispiele thematisiert, bei denen die Angreifer ein ähnliches Vorgehen nutzten. Dadurch konnten sie großen Schaden anrichten und Schadsoftware auf Millionen Systeme einschleusen.

Die Cyberkriminellen bedienten sich einer Angriffsmethode, die Supply-Chain-Angriff genannt wird. Supply-Chain bedeutet auf Deutsch Lieferkette. Diese in den letzten Jahren stark zunehmende Angriffsmethode zielt auf die schwächsten Elemente in einer Lieferkette ab, aus der sich ein Produkt zusammensetzt. Diese Produkte gelten in der Regel als vertrauenswürdig, da sie von bekannten Herstellern vertrieben werden und dadurch wiederum an viele Kunden und Nutzer gelangen. So können mit einem einzigen gezielten Angriff die verschiedensten Systeme und Organisationen länderübergreifend kompromittiert werden. Vorausgesetzt die eingeschleuste Schadsoftware in dem betroffenen Teil der Lieferkette bleibt lange genug unentdeckt.

Bereits vor dem SolarWinds-Angriff nutzten Cyber-Kriminelle diese Taktik in bekannten Produkten. So gehen Sicherheitsexperten davon aus, dass ein Supply-Chain-Angriff für die hohe Verbreitung der NotPeyta genannten Schadsoftware im Jahr 2017 verantwortlich war. Vor allem in der Ukraine war die Buchhaltungssoftware des Herstellers MeDoc der de-facto Standard in bürokratischen Organisationen. Die Software bekam regelmäßig Updates von einem zentralen Update-Server des Unternehmens. Dieser Update-Server konnte scheinbar von den Angreifern kontrolliert oder zumindest manipuliert werden, sodass das ausgelieferte Update in Wirklichkeit die Schadsoftware enthielt. Die NotPeyta Malware war besonders desaströs, da sie in vielen Fällen die kompletten Daten der befallenen Systeme nicht nur verschlüsselte, sondern unwiederbringlich zerstörte oder löschte. Außerdem blieben einige befallene Systeme unverändert, trotz Infektion. Dieser Umstand ließ einige Sicherheitsexperten vermuten, dass es sich um eine gezielte Operation handelte und nicht um gewöhnliche Erpressungs-Kriminalität.

Ein anderes Beispiel ist ein Angriff auf das Computerreinigungstool CCleaner im Jahr 2018. Das von der Firma Piriform entwickelte Tool war kurz nach dem eigentlichen Angriff von Avast – selbst eine Sicherheitsfirma, gekauft worden. Das führte dazu, dass Avast ironischerweise ihr eigenes Produkt einer intensiven Sicherheitsprüfung unterziehen musste. Sie stellten fest, dass die Angreifer es geschafft hatten mehr als einen Monat lang die Software-Updates vom CCleaner zu kompromittieren und so die Systeme von Millionen Nutzern mit einer Malware-Hintertür zu verseuchen. Die Angreifer gelangten zunächst in die Londoner Netzwerke von Piriform, indem sie sich mit gestohlenen Zugangsdaten in ein TeamViewer Remote-Desktop-Konto auf einem Entwickler-PC einloggten. Diese Software wird oft für die Fernwartung eingesetzt, oder um auf Rechner über das Netzwerk zuzugreifen. Diese Art von Zugang sollte daher besonders abgesichert werden. Vom Entwickler-PC aus wechselten die Angreifer zu anderen Computern im internen Netzwerk. Sie arbeiteten dafür immer außerhalb der Bürozeiten, da es unwahrscheinlicher war von den Nutzern entdeckt zu werden. Die Angreifer installierten auf den kompromittierten Computern eine Malware namens ShadowPad. Das ist eine Art anpassbare Malware-Plattform, die für eine Reihe von Angriffen (von DDoS bis Keylogging) verwendet werden kann. In diesem Fall nutzten die Angreifer die Keylogger-Funktionalität und andere Analysefunktionen, um sich tief in die Entwicklungs- und Vertriebssysteme von Piriform einzuschleichen. Wenige Wochen nach der Übernahme von Piriform durch Avast, begannen die Angreifer, CCleaner-Downloads zu verseuchen. Glücklicherweise konnte der Command-and-Control-Server, der Angreifer wenige Tage nach der Entdeckung in Zusammenarbeit mit dem FBI abgeschaltet werden. Ein Command-and-Control-Server ist ein System im Internet, über das sich Kommandos an die verseuchten Systeme senden lassen. Die meisten Nutzer von CCleaner sind Privatpersonen, die scheinbar nicht das Hauptziel des Angriffs waren, denn nur wenige verseuchte Systeme erhielten das Kommando weitere Schadsoftware herunterzuladen und zu installieren. Diejenigen, die von der nächsten Phase des Angriffs betroffen waren, waren vor allem Unternehmen. Den Angreifern gelang es so insgesamt elf Unternehmen komplett zu infiltrieren. Das scheint auf den ersten Blick vielleicht nicht besonders viel, aber im Verhältnis für den Aufwand, den die Angreifer betreiben mussten, also einen einzigen Update-Server manipulieren, ist die Anzahl der betroffenen auch nicht besonders klein.

Zusammenfassend lässt sich sagen, dass Supply-Chain-Angriffe eine zunehmende Bedrohung darstellen und besonders ihre Wirksamkeit im Verhältnis zu ihrem Aufwand erschreckend ist. Sie stellen ein sehr großes Risiko dar und sind für internationale Unternehmen genauso gefährlich wie für den Endanwender. Die größte Lektion, die Softwarehersteller aus diesen Angriffen lernen müssen ist, dass sie ihrer Sorgfaltspflicht nachkommen sollten. Hersteller die viel Vertrauen genießen müssen sich bewusst sein, dass sie ein begehrtes Ziel für Cyberangriffe sind. Wenn sie Komponenten von anderen Herstellern einbauen oder Unternehmen fusionieren, darf es nicht nur um Finanzen und rechtliche bzw. vertragliche Rahmenbedingungen gehen, sondern es müssen auch die Softwareprodukte selbst auf Schadsoftwarebefall und Sicherheitslücken hin überprüft werden. Bisher hatten die Hersteller viel Glück und konnten einiges an Schaden rechtzeitig abwenden, aber wer weiß, ob wir nicht alle bereits betroffen sind und die Lücke einfach bisher noch unentdeckt ist.

Autor des Beitrags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü