Man soll ja immer vorsichtig sein, irgendwas biblisch zu nennen. Was aber bei Solarwinds passiert ist, kann schon als ein Angriff biblischen Ausmaßes gelten. Mir lief das Thema jetzt auch mit brachialer Gewalt vor die Linse. Ich werde darüber aber im Moment nicht erzählen, da die Geschichte noch nicht ausgestanden ist. Aber ich kann erzählen, um welche Attacke es sich hier handelt. Dann dürfte das Ausmaß klar werden und warum ich die ganze Nummer als „biblisch“ einstufe.
Wer oder was ist Solarwinds?
Solarwinds ist ein US-amerikanischer Software-Hersteller aus Oklahoma, der mittlerweile seinen Hauptsitz in Texas hat. Das Unternehmen hat sich darauf spezialisiert, Software zur Netzwerküberwachung zu entwickeln und zu vertreiben. Bloggern und überhaupt Betreibern von Internetseiten dürften die Pingdom Tools etwas sagen. Die schwedische Web Monitoring Software wurde von Solarwinds irgendwann 2014 / 2015 aufgekauft.
Mit solchen Software-Lösungen ist Solarwinds praktisch überall vertreten. Kürzlich hatte das Unternehmen darüber informiert, dass man um die 300000 Kunden habe. Unter anderem sollen nahezu alle Fortune 500 Unternehmen und verschiedene staatliche US-Behörden Kunden des Unternehmens sein. Das Unternehmen ist börsennotiert. Und was nun passierte ist, zerreißt natürlich den Börsenkurs: Im Hoch waren es dieser Tage über 24 $, gestern dann nur noch 17 $. So etwas bleibt nie folgenlos.
Sunburst – Wenn der Schädling im Quellcode sitzt
Sunburst ist der englische Begriff für plötzlich auftretenden Sonnenschein. Das ist bei dieser enormen Attacke schon ein wenig zynisch. Aber es muss wohl die Sonne aufgegangen sein. Es gab einen Lieferkettenangriff auf die Solarwinds-Produktlinie Orion. Dabei handelt es sich um eine Überwachungssoftware. Mit einem Software-Update hatten Angreifer einen Trojaner eingepflanzt. Die so genannte Sunburst Backdoor wurde direkt in den Quellcode von Orion gepflanzt. Wie schreibt es Günter Born?
Die Hütte ist am Brennen.
Borncity
Es wird angenommen, dass der Sunburst-Angriff von einer regierungsnahen Organisation verübt wurde. Man denkt dabei an „Cozy Bear“, die von der russischen Regierung unterstützt werden. Die sollen angeblich auch hinter der Attacke APT29 stecken, bei der im Vorfeld der US-Wahlen 2016 ein Einbruch in das Computersystem der Demokraten erfolgte. Wir erinnern uns an die Email-Affäre von Hillary Clinton.
Auch bei der Solarwinds-Geschichte könnte es sich um eine APT-Attacke handeln, ein „Advanced Persistent Threat“, einer erweiterten, andauernden Attacke auf gefährdete Systeme. So etwas gab es auch als „Wicked Panda“ gegen Henkel, Covestro, Bayer, Siemens, BASF oder ThyssenKrupp. Nur geht die Attacke gegen Solarwinds noch viel weiter. Betroffen sind unter anderem:
- Das US-Finanzministerium
- Das US-Handelsministerium
- weitere staatliche Behörden
- FireEye
- Microsoft
- Solarwinds
- diverse Think Tanks
Weltweites Problem
Ich habe ja geschrieben, dass US-Unternehmen und US-Firmen betroffen seien. Aber so ist es ja nicht. Die Sunburst-Nummer ist eine globale Attacke. Es sind eben nicht nur Solarwinds und andere US-Läden Ziele. Wir haben viele Kunden im europäischen Raum. Darunter gibt es auch Betroffene. Nein, ich nenne keine Namen. Und es kann ja auch sein, dass die Attacken hierzulande aus den Attacken auf die US-Organisationen resultieren. Aber so ist die ganze Geschichte ein weltweites Problem.
Wie konnte es denn dazu kommen, dass es den Hackern gelang, den Orion-Produkten von Solarwinds einen Trojaner in ein signiertes Update-Paket unterzujubeln? Nun wird nebenher auch mal behauptet, dass Zugangsdaten zu den FTP-Servern des Anbieters über eine Konfigurationsdatei auf GitHub abrufbar waren. Sollte das wirklich stimmen, wäre das eine gewaltige Schlamperei. Der Quellcode einer Bibliothek von Orion wurde dabei direkt manipuliert.
Nachdem auch der Anbieter von Software und Dienstleistungen für die Netzwerksicherheit, FireEye, angegriffen wurde, haben die Experten dort den Angriff ausgewertet, der bei Solarwinds stattfand. Hier wird dann enorm viel kriminelle Energie klar. Am Ende bedeutet es, dass hier keine Script-Kiddies am Werk waren, die einfach nur die schnelle Münze machen wollen. Es geht das Gerücht um, dass es staatliche Hacker gewesen sein sollen.
Microsoft-Empfehlungen
Da auch Microsoft von der Attacke betroffen war oder ist, die da Solarwinds heimgesucht hatte, hat der IT-Riese ein paar Empfehlungen zur Abwehr geliefert. Hier beruft sich Redmond auf so etwas:
- Nutzt aktuelle Antivirus-Lösungen
- Blockt C2-Endpunkte
- Nutzt bewährte Methoden für eure Technologieanbieter zur Identitätsfeststellung
- Setzt eure Administratoren nach bewährten Methoden ein
- Trennt euch von ungenutzten oder unnötigen Anwendungen und Service Principals
- Sichert Azure AD und Microsoft 365 bestmöglich ab
Lest einfach den oben verlinkten Artikel mit all den Empfehlungen. Am Ende müssen wir aber festhalten: Es gibt keine absolute Sicherheit. Und diese Nummer bei Solarwinds hat die Technologie und vor allem die US-Behörden ins Mark getroffen. Wie die Konsequenzen sein werden, kann man derzeit nur ahnen.
Blöd ist dann allerdings, wenn man als Dienstleister tatsächlich nichts unternehmen kann und nur sicherstellen kann, dass nicht noch mehr passiert. Ja, dafür sind wir ja da. Aber eigentlich will man den Kunden richtig helfen, wenn sie wie bei uns unverschuldet in so eine Lage gekommen sind. Hoffen wir mal, dass hier weitere Aufklärung erfolgt. Denn so eine Sache wie bei Solarwinds steckt die High Tech Branche nicht so ohne weiteres weg.