Das IT-Security-Jahr geht mit einem Paukenschlag zu Ende
Der vor wenigen Tagen bekannt gewordene Hacker-Einbruch beim Sicherheitsanbieter FireEye hat weit umfangreichere Folgen als bisher angenommen. Wie nun gemeldet wurde, konnten sich die Angreifer über einen automatischen Update-Mechanismus bei FireEye einschleichen. Wie das Unternehmen, das ja selbst auf Cyber-Attacken spezialisiert ist, mittlerweile nach eigener Aussage herausgefunden hat, wurde dafür die Orion-Plattform von SolarWinds kompromittiert.
Zwischen März und Juni dieses Jahres sollen Updates für die in zahllosen Unternehmen auf der ganzen Welt eingesetzte IT-Monitoring- und Netzwerkmanagement-Software mit der Malware Sunburst infiziert gewesen sein. Der Schädling wurde unter anderem eingesetzt, um Daten zu stehlen und um sich weiter in der jeweiligen IT-Umgebung festzusetzen. In den USA sollen einige Behörden wie die NTIA (National Telecommunications and Information Administration) zum Opfer dieser Aktion geworden sein.
Wie FireEye in einer Stellungnahme schreibt, hat die Malware weitreichende Fähigkeiten:
After an initial dormant period of up to two weeks, [Sunburst] retrieves and executes commands, called “Jobs”, that include the ability to transfer files, execute files, profile the system, reboot the machine, and disable system services.
Auch bei der Extraktion von Daten geht Sunburst sehr trickreich vor:
The malware masquerades its network traffic as the Orion Improvement Program (OIP) protocol and stores reconnaissance results within legitimate plugin configuration files allowing it to blend in with legitimate SolarWinds activity.
Des Weiteren schützt sich der Schädling vor AV-Software:
The backdoor uses multiple obfuscated blocklists to identify forensic and anti-virus tools running as processes, services, and drivers.
18.000 potentielle Opfer
SolarWinds hat den Angriff mittlerweile eingestanden und Patches veröffentlicht. Unternehmen, die Software des Herstellers einsetzen, stehen aber nun vor einem Scherbenhaufen. Ihnen bleibt im schlimmsten Fall nur, die gesamte IT-Umgebung neu aufzusetzen. Laut einem Bericht von SolarWinds haben möglicherweise bis zu 18.000 Kunden die verseuchten Updates erhalten. Insgesamt hat das Unternehmen etwa 300.000 Kunden, zu denen auch Behörden wie der amerikanische Secret Service, die NSA und das Executive Office of the President gehören. 33.000 von ihnen hatten im fraglichen Zeitraum die Möglichkeit, Updates herunterzuladen. Wenn die Zahlen von SolarWinds stimmen, dann haben etwa 15.000 von ihnen nicht davon Gebrauch gemacht.
Wie es die Angreifer in die Update-Systeme von SolarWinds schafften, ist noch unklar. Teils wird eine verseuchte E-Mail als initiale Quelle vermutet, teils ein Standardpasswort. Laut Reuters waren die Update-Server von SolarWinds lächerlich schlecht gesichert:
Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”
“This could have been done by any attacker, easily,” Kumar said.
Trotzdem sei dies wahrscheinlich nicht die Ursache, schreibt Reuters weiter. Der Bericht enthält aber weitere pikante Details:
Others - including Kyle Hanslovan, the cofounder of Maryland-based cybersecurity company Huntress - noticed that, days after SolarWinds realized their software had been compromised, the malicious updates were still available for download.
SolarWinds-Aktie unter Druck
Wie es weitergeht, ist derzeit noch offen. US-Behörden sollen bereits angewiesen worden sein, alle IT-Systeme, auf denen die Orion-Plattform installiert ist, umgehend vom Netzwerk zu trennen. Die Aktien von SolarWinds sind derweil um ein knappes Viertel eingebrochen.
Unerwartete Hilfe kommt von Microsoft. Das Unternehmen hat zusammen mit mehreren anderen Sicherheitsfirmen die Domain blockiert, die nach derzeitigem Kenntnisstand beim Angriff auf SolarWinds als zentrale Anlaufstelle für die verseuchten Systeme verwendet wurde.
[Dieser Beitrag wurde ursprünglich im IT Security Newsletter (RIP) veröffentlicht.]
