Der Botnet-Angriff von Sandworm erbringt den Beweis: Zero Trust geht nicht mit Firewalls

Wie US-Justizminister Merrick Garland am Mittwoch bekanntgab, ist es US-Beamten gelungen, ein zweistufiges globales Botnet aus Tausenden infizierten Firewall-Geräten zu zerstören, das mutmaßlich vom Bedrohungsakteur Sandworm kontrolliert wird. Sandworm wurde in der Vergangenheit mit dem Zentralorgan des Militärnachrichtendienstes der Russischen Föderation (GRU) in Verbindung gebracht. Im Zuge des Angriffs wurden die infizierten Firewalls als Hosts für die „Command and Control“-Aktivitäten des Botnets missbraucht.

Sandworm wird u. a. für die NotPetya-Angriffe im Jahr 2017 sowie für Cyberangriffe auf die Olympischen und Paralympischen Winterspiele 2018 verantwortlich gemacht. Bei dem Botnet mit der Bezeichnung CyberBlink, das bei den jüngsten Angriffen zum Einsatz kam, handelt es sich um eine Weiterentwicklung des VPNFilter-Botnet-Frameworks. Die einschlägige Studie des ThreatLabz-Teams von Zscaler ergab, dass VPNFilter im Jahr 2021 an vierter Stelle unter den gängigsten Malware-Payloads rangierte, die auf IoT-Geräten entdeckt wurden – dies obwohl das US-Justizministerium bereits 2018 gegen die Verbreitung der Malware durchgegriffen hatte.

In einer Erklärung gab das US-Justizministerium bekannt, es habe „Malware von mit dem Internet verbundenen Firewall-Geräten kopiert und entfernt, die von Sandworm für die C2-Aktivitäten (Command and Control) des zugrundeliegenden Botnets missbraucht wurden“. 

Konkret handelte es sich bei den Angriffszielen um Firewalls, die von WatchGuard und ASUS entwickelt wurden. Beide Hersteller veröffentlichten Empfehlungen zur Erkennung und Behebung von Problemen im Zusammenhang mit der Malware. Trotz seiner Behebungsmaßnahmen musste das Justizministerium Mitte März eingestehen, dass „ein Großteil der ursprünglich kompromittierten Geräte weiterhin infiziert“ sei.

Firewalls können als Host für kriminelle Aktivitäten missbraucht werden

Das CyberBlink-Botnet ist nur eins von zahlreichen Beispielen, die deutlich machen, dass Firewalls unter heutigen Vorzeichen keine ausreichende Sicherheit für Unternehmen gewährleisten können. 

Firewalls schützen den Netzwerkperimeter, um zu verhindern, dass Bedrohungen ins Netzwerk gelangen. Dieser Ansatz basiert auf dem inzwischen überholten Sicherheitsmodell einer Festung mit Burggraben, bei dem der Perimeter gegen externe Feinde verteidigt wird. Im Umkehrschluss werden alle Ressourcen und Entitäten, die sich innerhalb des Perimeters befinden, automatisch als vertrauenswürdig eingestuft. Freilich können Firewalls – genau wie jedes andere Gerät auch – für kriminelle Machenschaften missbraucht werden. Mit dem Internet verbundene Firewalls können potenziell von jedem Bedrohungsakteur mit einer Internetverbindung gefunden und – wie bei diesem Angriff – ausgenutzt werden, um Kriminellen unbefugten Zugang zum Netzwerk zu verschaffen.

Die Vorstellung, dass ein Sicherheitstool nicht nur seine Funktion nicht erfüllt, sondern sogar als Host für böswillige Aktivitäten missbraucht wird, ist erschreckend genug. Indes ist die Übernahme des Geräts zur Verwendung in einem Botnet keineswegs die schädlichste potenzielle Konsequenz für die betroffene Organisation.

Firewalls sind eigens dafür konzipiert, Netzwerkverbindungen zu erzwingen – dabei kann es sich um physische Verbindungen in der Unternehmenszentrale, MPLS-Verbindungen zur Anbindung von Zweigstellen oder Remote-Verbindungen über VPNs handeln. Nachdem ein Angreifer sich erfolgreich Zugang zum Netzwerk verschafft hat, profitiert er von den gleichen Berechtigungen wie Ihre legitimen User sowie von uneingeschränkter lateraler Bewegungsfreiheit, um Netzwerkressourcen oder nachgeschaltete Geräte zu erkunden. Das heißt, er kann Malware und Ransomware verbreiten, Daten stehlen und beliebig auf Anwendungen zugreifen. 

„Diese Netzwerkgeräte befinden sich oft am Perimeter des Computernetzwerks der betreffenden Organisation, wodurch Sandworm potenziell die Möglichkeit erhält, schädliche Aktivitäten gegen sämtliche Computer innerhalb dieser Netzwerke durchzuführen“, hieß es dazu in der Erklärung des Justizministeriums.

64 % der Entscheidungsträger mit Zuständigkeit für Cybersicherheit sind der Meinung, dass Firewalls laterale Bewegungen in Netzwerken nicht verhindern können. Quelle: Virtual Intelligence Briefing (ViB) | Networks Security Survey 2021

Manchmal haben die Angreifer es nicht einmal nötig, Sicherheitslücken auszunutzen, sondern können Firewalls einfach umgehen. Über 80 Prozent der Angriffe laufen über verschlüsselte Kanäle. Die Überprüfung des gesamten verschlüsselten Traffics ist daher ein unverzichtbares Muss. Indes sind Firewalls mit ihrer Passthrough-Architektur nicht darauf ausgelegt, verschlüsselten Traffic inline zu überprüfen. Entsprechend können sensible Daten weder bei der Übertragung noch im Ruhezustand erkannt und durch geeignete Kontrollmaßnahmen geschützt werden. Infolgedessen lassen viele Unternehmen zumindest einen Teil des verschlüsselten Datenverkehrs unkontrolliert durchlaufen, was das Risiko von Cyberangriffen und Datenverlusten erhöht.

Hinzu kommt, dass die Aktivitäten der Organisation nicht mehr innerhalb eines vordefinierten Perimeters stattfinden, der problemlos mit Firewalls geschützt werden kann. Anwendungen, User und Daten befinden sich sowohl innerhalb als auch außerhalb des Netzwerks und werden allzu oft im Internet exponiert, wo sie von Bedrohungsakteuren ausgenutzt werden können. Virtuelle Firewalls und andere cloudbasierte Perimetertools, die für diese Anwendungsfälle eingesetzt werden, unterscheiden sich nur insofern von ihren hardwarebasierten Vorgängermodellen, als sie sich in der Cloud statt im Rechenzentrum befinden. Am zugrundeliegenden Sicherheitskonzept ändert sich dadurch nichts – an den Nachteilen in Bezug auf mangelnde Sicherheit, Skalierbarkeit und Leistungsfähigkeit genauso wenig. Schlimmer noch: Indem Sie virtuelle Maschinen (VMs) in der Cloud platzieren, erweitern Sie sogar die externe Angriffsfläche und ermöglichen Angreifern, Ihre Cloud-Ressourcen auszunutzen.

Eine bessere Alternative: Zero Trust

Mittlerweile bieten so gut wie alle Sicherheitsanbieter ihre Produkte als „Zero-Trust-Lösungen“ feil – kein Wunder, denn sie wissen genau, was Organisationen brauchen, um ihre hochgradig distribuierten IT-Umgebungen vor zunehmend raffinierten Bedrohungsakteuren zu schützen. 

NIST definiert Zero Trust als „Paradigma in der Cybersicherheit, das den Fokus auf den Schutz von Ressourcen legt. Die Einstufung als vertrauenswürdig darf demnach nie implizit erfolgen, sondern muss ständig geprüft werden“. 

Mit Firewalls ist die Umsetzung dieses Prinzips grundsätzlich nicht möglich, da sie wie bereits erwähnt netzwerkabhängig konzipiert sind. Die Vorstellung eines „vertrauenswürdigen Netzwerks“ steht im direkten Widerspruch zu den Grundsätzen des Zero-Trust-Modells. Durch Festhalten an Sicherheitsmodellen, die auf implizitem Vertrauen basieren, gehen Sie unnötige Risiken ein.

Eine echte Zero-Trust-Architektur verbindet Ihre User direkt mit den jeweils benötigten Daten und Anwendungen, ohne dass andere Ressourcen überhaupt für sie sichtbar sind. Der Aufbau einer effektiven Zero-Trust-Architektur erfordert Transparenz und Kontrolle über alle User und den gesamten – verschlüsselten und unverschlüsselten – Traffic in einer Datenumgebung. Außerdem muss der Traffic innerhalb der Umgebung überwacht und überprüft werden. Als weitere Voraussetzung sind zuverlässige Methoden zur mehrstufigen Authentifizierung erforderlich (etwa biometrische Daten oder Einmalcodes), da Passwörter allein nicht ausreichen.

Ein entscheidendes Merkmal von Zero-Trust-Architekturen besteht darin, dass der Sicherheitsstatus einer Ressource nicht mehr primär von ihrer Platzierung innerhalb des Unternehmensnetzwerks abhängt. Anstelle einer starren Netzwerksegmentierung werden Daten, Workflows, Services usw. durch softwaredefinierte Mikrosegmentierung geschützt. Für Unternehmen hat das den großen Vorteil, dass in verteilten hybriden und Multicloud-Umgebungen ein identisches Sicherheitsniveau gewährleistet wird wie im Rechenzentrum.

Zscaler Zero Trust Exchange

Zscaler stellt Zero Trust über die Zscaler Zero Trust Exchange bereit. Unsere Cloud-native Plattform basiert auf einer Proxy-Architektur, die User niemals mit dem Unternehmensnetzwerk, sondern immer direkt mit der jeweils angeforderten Anwendung verbindet.

Als Instanz, die Richtlinien durchsetzt und über die Genehmigung bzw. Blockierung von Verbindungen entscheidet, vermittelt die Zero Trust Exchange zwischen den Endgeräten und anderen Entitäten, die eine Verbindung herstellen wollen (im unteren Teil der nachstehenden Grafik), sowie den Ressourcen, mit denen sie verbunden werden sollen (z. B. Internet und Anwendungen, im oberen Teil der Grafik). Dort wendet die Zero Trust Exchange auf unterschiedliche Weise Richtlinien und Kontext an, um zu entscheiden, welche Richtlinien durchgesetzt werden sollen. Erst dann stellt sie eine autorisierte Verbindung zu der angefragten Ressource her.

Diese Architektur gewährleistet, dass Anwendungen weder routingfähig noch für potenzielle Angreifer sichtbar sind, sodass Ressourcen nicht von Unbefugten im Internet erkannt werden können. Dadurch reduziert sie die Angriffsfläche, verhindert laterale Bewegungen, überprüft und schützt den gesamten Traffic und verhindert, dass vertrauliche Daten an verdächtige Verbindungsziele weitergeleitet werden.

Die Zero Trust Exchange gewährleistet Cloud-nativen, transparenten Zero-Trust-Zugriff mit nahtloser Anwendererfahrung, reduzierten Kosten, weniger Komplexität, erhöhter Transparenz und granularen Kontrollen sowie optimierter Performance für moderne Zero-Trust-Sicherheit. Unsere marktführende Zero Trust Network Architecture (ZTNA) trug Zscaler im Gartner® Magic Quadrant™ 2022 für Security Service Edge (SSE) die höchste Bewertung für das Kriterium „Fähigkeit zur Umsetzung“ ein.

Weitere Informationen zum Thema erhalten Sie im Webinar: Mit Firewalls lässt sich Zero Trust nicht realisieren. Hier erfahren Sie, was unter Zero Trust konkret zu verstehen ist (und was nicht) und wie Sie Ihre Organisation vor Angriffen wie CyberBlink schützen können.