Was passierte beim SolarWinds-Cyberangriff?

Was ist SolarWinds?

SolarWinds ist ein in Texas ansässiger Anbieter von Softwarelösungen für die Verwaltung von IT-Infrastrukturen, der Unternehmen dabei unterstützt, die Leistung ihrer IT-Umgebungen zu überwachen und zu verwalten.

Bei SolarWinds Orion handelt es sich um eine skalierbare Plattform zur Überwachung und Verwaltung der gesamten IT-Infrastruktur, die durch Einblick in Netzwerke verschiedener Anbieter die Erkennung und Behebung von Problemen unterstützen soll. Weltweit wird die Plattform nach Angaben des Unternehmens von über 33.000 Kunden genutzt, darunter neben zahlreichen Großunternehmen auch Regierungsbehörden. Schätzungen zufolge waren etwa 18.000 davon – mehr als die Hälfte – von dem Angriff betroffen.

Am Tag nach der Offenlegung beleuchtete Forbes in einem Bericht die vermutliche Tragweite des SolarWinds-Angriffs: „Gemäß Angaben in öffentlich zugänglichen Unterlagen zählen sehr viele Ämter und Behörden der US-Regierung zu den Kunden, die SolarWinds Orion erworben haben. Das Pentagon steht als größter Kunde ganz oben auf der Liste; auch bei der Army und Navy wird die Plattform viel genutzt. Das Kriegsveteranenministerium … die National Institutes of Health [Behörde für biomedizinische Forschung], das Energie- und das Heimatschutzministerium sowie das FBI gehören ebenfalls zu den zahlreichen Regierungsstellen, die das Tool erworben haben.“

Wie lief der SolarWinds-Cyberangriff ab?

Der Angriff, der in den Mitteilungen von SolarWinds als SUNBURST bezeichnet wurde, betraf die Orion-Versionen 2019.4 bis 2020.2.1, die zwischen März und Juni 2020 veröffentlicht worden waren.

Zur Vorbereitung des Angriffs modifizierten Hacker ein Plugin für die Orion-Plattform, das im Rahmen der Plattform-Updates herausgegeben wurde. Das Plugin ist mit der digitalen Signatur von SolarWinds versehen und kommuniziert über eine eingebaute Backdoor mit Servern von Drittanbietern, die unter der Kontrolle der Angreifer stehen. Nachdem sie sich in den Umgebungen der betroffenen Organisationen eingenistet hatten, nutzten die Angreifer ihre Bewegungsfreiheit aus, um Daten zu stehlen, Schadcode zu verbreiten oder auf andere Weise den Geschäftsbetrieb zu stören.

Die erfolgreiche Durchführung dieses hochgradig komplexen Angriffs setzte umfassende Kenntnissen im Bereich der Informationssicherheit voraus. Die öffentlich verfügbaren Daten und Fakten lassen darauf schließen, dass die Angreifer beträchtliche Anstrengungen unternahmen, um die Kontrollmechanismen der betroffenen Organisationen zu umgehen. Dazu zählte die Verschleierung des verwendeten Codes ebenso wie die Spurenbeseitigung durch Steganografie, Fingerprinting-Techniken zur Erkennung von Zielsystemen und Analysesystemen, Wechsel zwischen mehreren Infrastrukturen zur Gewährleistung geografischer Nähe sowie die bevorzugte Ausführung von Schadcode im Arbeitsspeicher.

In Kombination mit der Verwendung einer digital signierten Komponente einer vertrauenswürdigen Softwareplattform als ursprünglichem Infektionsvektor weisen diese Techniken auf einen hochgradig kompetenten Gegner hin, der bereit ist, erhebliche Ressourcen aufzuwenden, um den Erfolg seiner Angriffskampagne zu gewährleisten.

Nach dem Angriff: Reaktion der US-Regierung und Sanktionen gegen Russland

Von dem Angriff waren mehrere prominente US-Bundesbehörden betroffen, darunter das Justizministerium, das Ministerium für Heimatschutz und das Finanzministerium. Die Offenlegung der Microsoft 365-E-Mail-Umgebungen verschiedener Bundesbehörden wurde als „schwerwiegender Vorfall“ eingestuft, der eine offizielle Reaktion seitens der US-Regierung erforderlich machte.

In einer Erklärung des Weißen Hauses vom April 2021 kündigte die Regierung unter Joe Biden Sanktionen gegen Russland „für die Handlungen seiner Regierung und Geheimdienste gegen die Souveränität und Interessen der USA“ an. Diese Maßnahmen richteten sich gegen russische Regierungsbehörden, Unternehmen und Geheimdienste und umfassten u. a. die Ausweisung diplomatischer Vertreter des russischen Geheimdienstes.

In derselben Erklärung wurde der für die zivile Auslandsaufklärung zuständige russische Nachrichtendienst SWR offiziell als Urheber des Angriffs genannt. Die CISA, das Federal Bureau of Investigation (FBI) und die National Security Agency (NSA) veröffentlichten weitere Einzelheiten in einer gemeinsamen Sicherheitswarnung.

Woher weiß ich, ob meine Organisation betroffen ist?

Um möglichst lange unentdeckt zu bleiben, nutzten die Bedrohungsakteure die Backdoor in SolarWinds Orion anscheinend ausschließlich für Angriffe auf Umgebungen von besonderem Interesse aus. Daher ist die Analyse Ihrer Netzwerkaktivität die einzige zuverlässige Methode, mit der Sie herausfinden können, ob Ihre Organisation von unbefugten Zugriffen bzw. Zugriffsversuchen betroffen war.

Es wird vermutet, dass die Kampagne spätestens im März 2020 begann (mit möglichen vorbereitenden Tests bereits im Oktober 2019) und keine der bekannten Anzeichen für eine Kompromittierung aufwies. Aufgrund der hohen Datenvolumen bewahren viele Organisationen Zugriffsprotokolle nicht lange genug auf, um im Nachhinein feststellen zu können, ob eine Kompromittierung stattgefunden hat oder nicht.

Wenn ein Angreifer über ein kompromittiertes Orion-System Malware in Ihrer Umgebung implementiert, ist mit hoher Wahrscheinlichkeit davon auszugehen, dass er erweiterte Berechtigungen nutzt, um zu prüfen, welcher Spielraum ihm zur Ausführung unterschiedlicher Maßnahmen offensteht. Behalten Sie das betroffene Orion-System – oder andere Systeme, die damit kommuniziert haben – im Auge und achten Sie insbesondere auf die nachstehend genannten Aktivitäten:

• Modifizierung von Systemaufgaben
• Auffällige Muster bei Directory-Aktivitäten („Löschen–Erstellen–Ausführen–Löschen–Erstellen“)
• Neu erstellte oder unbekannte lokale User-Konten
• Präsenz bzw. Hinweise auf Nutzung von Adfind.exe
• Hinweise darauf, dass cmd.exe oder rundll32.exe von solarwinds.businesslayerhost.exe erzeugt wurden
• Präsenz unbekannter und/oder sehr weit gefasster Regeln zum Weiterleiten und Löschen von E-Mails auf dem E-Mail-Gateway

Kompromittierte Orion-Produkte und -Versionen

Wenn Sie befürchten, dass Ihre Organisation möglicherweise von SUNBURST betroffen war, sollten Sie zunächst überprüfen, ob in Ihrer Umgebung ein kompromittiertes Orion-Produkt zum Einsatz kommt. Folgende Versionen der Orion-Plattform sind betroffen:

• 2019.4 HF5, Version 2019.4.5200.9083
• 2020.2 RC1, Version 2020.2.100.12219
• 2020.2 RC2, Version 2020.2.5200.12394
• 2020.2, Version 2020.2.5300.12432
• 2020.2 HF1, Version 2020.2.5300.12432

Handlungsempfehlungen für betroffene Organisationen

Wenn Ihre Organisation eine kompromittierte Version der Orion-Plattform verwendet, sind folgende Hinweise zu beachten:

1. Infizierte Systeme müssen umgehend isoliert, getrennt oder abgeschaltet werden
2. Überprüfen Sie Ihre Logs auf C2-Aktivitäten oder laterale Bewegungen, die von kompromittierten Systemen ausgehen
3. Zugangsdaten für SolarWinds Orion und alle zugehörigen Dienste müssen zurückgesetzt werden
4. Aktualisieren Sie Orion gemäß dieser Empfehlung
5. Überprüfen Sie, ob Ihre Organisation andere betroffene SolarWinds-Produkte (siehe Liste in der Empfehlung) einsetzt

Best-Practice-Empfehlungen zum Schutz Ihrer Organisation

Lieferkettenangriffe nehmen weiter an Komplexität und Raffinesse zu. Es steht außer Frage, dass Cyberkriminelle auch zukünftig immer neue Wege finden werden, die Betriebsabläufe und vertraulichen Daten von staatlichen Behörden und Privatunternehmen erfolgreich zu kompromittieren. Zscaler empfiehlt Ihnen folgende Maßnahmen zur größtmöglichen Reduzierung des Risikos:

• Minimieren Sie die Angriffsfläche, die durch Sichtbarkeit Ihrer Ressourcen im öffentlichen Internet entsteht, sowie die laterale Bewegungsfreiheit innerhalb Ihres Netzwerks und blockieren Sie Command-and-Control-Aktivitäten (C2) mit einer Zero-Trust-Architektur.
• Implementieren Sie lückenlose SSL-Überprüfung und Advanced Threat Prevention für Workload-zu-Internet-Traffic.
• Nutzen Sie eine Inline-Cloud-Sandbox, um neuartige Bedrohungen in Echtzeit zu erkennen und zu stoppen.
• Setzen Sie durch regelmäßige Updates für neu entdeckte Verbindungsziele effektive Schutzmaßnahmen zur Blockierung des gesamten bekannten C2-Traffics durch.
• Minimieren Sie potenzielle Risiken aufgrund lateraler Bewegungen durch identitätsbasierte Mikrosegmentierung für Cloud-Workloads.
• Investieren Sie in Lösungen von Anbietern, die ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten können.

Im Kampf gegen Lieferkettenangriffe geht es zum einen darum, Angreifern den unbefugten Zugriff auf Ihre Umgebung zu erschweren. Zum anderen benötigen Sie effektive Möglichkeiten, unerwartete Aktivitäten frühzeitig zu erkennen. Dazu sind zwei Maßnahmen unverzichtbar:

• Setzen Sie konsequent das Prinzip der minimalen Rechtevergabe für den Zugriff auf sämtliche Anwendungen und Ressourcen durch, um den Spielraum der Angreifer weitestmöglich einzuschränken.
• Implementieren Sie eine mehrstufige Authentifizierung für alle Zugriffsanforderungen auf geschäftskritische Ressourcen bzw. vertrauliche Daten und Informationen.

Wie sorgt Zscaler für Abhilfe?

Lieferkettenangriffe zählen aktuell zu den raffiniertesten und am schwersten erkennbaren Cyberbedrohungen. Um sie zuverlässig abzuwehren, benötigen Sie lückenlosen Einblick in den gesamten Traffic in Ihrer IT-Umgebung, eine mehrschichtige Sicherheitsstrategie und präzise Informationen über den Sicherheitsstatus aller Lieferkettenpartner.

Die Zscaler Zero Trust Exchange™ schützt Ihre Organisation mit nativ integrierten Services und leistungsstarken, branchenführenden Funktionen auch vor komplexen Lieferkettenangriffen. Zscaler-Kunden profitieren von einer ganzen Reihe von Vorteilen, die eine effektive Abwehrstrategie unterstützen:

• Erkennung und Blockierung schädlicher Aktivitäten von kompromittierten Servern durch Routen des gesamten Servertraffics über Zscaler Internet Access™
• Beschränkung des ausgehenden Traffics von geschäftskritischen Ressourcen auf bekannte Verbindungsziele mittels einer Zulassungsliste
• Überprüfung des gesamten TLS/SSL-Traffics in unbegrenztem Umfang (einschließlich Traffic aus vertrauenswürdigen Quellen)
• Blockierung aller bekannten Command-and-Control-Domains (C2) mit Advanced Threat Protection
• Schutz vor C2 für alle Ports und Protokolle mit der Advanced Cloud Firewall (Cloud-IPS-Modul), die auch neu entdeckte C2-Ziele berücksichtigt
• Abwehr bislang unbekannter Malware als Inhalt einer Payload während der zweiten Angriffsphase mit Advanced Cloud Sandbox
• Schadensbegrenzung nach erfolgreicher Kompromittierung durch identitätsbasierte Mikrosegmentierung zur Einschränkung der lateralen Bewegungsfreiheit mit einer Zero-Trust-Architektur und Zscaler Workload Segmentation
• Kompromissloser Schutz für geschäftskritische Anwendungen durch Einschränkung der lateralen Bewegungsfreiheit mit Zscaler Private Access