SolarWinds: Chasing the storm

SolarWinds kam nicht aus heiterem Himmel und sollte nicht als Einzelfall betrachtet werden. SolarWinds ist die unvermeidliche Folge einer Reihe starker systemischer Faktoren, die zusammen ein Klima erzeugen, das zwar grundsätzlich willkürlich erscheint, aber dennoch vorhergesagt werden kann. Es ist wie bei der Wettervorhersage: Prognosen für einen bestimmten Tag und Ort liegen möglicherweise daneben, doch die Großwetterlage ist bekannten Kräften und Systemen unterworfen.

Dieses Cyber-Klima begünstigt derzeit den Angreifer gegenüber dem Verteidiger. Das wird sich nicht ändern, solange nicht die systemischen Kräfte, die das verursachen nicht angegangen werden. In diesem Fall bedeutet das, einige Faktoren zu konfrontieren und zu beheben (wie die massiven Investitionen der Regierungen in Computer-Hacking-Fähigkeiten) und andere zu akzeptieren und sich an sie anzupassen (wie die starke Vernetzung und gegenseitige Abhängigkeit, die im Herzen des Cyberspace, der Ökonomie und in der modernen Gesellschaft liegen).

Die SolarWinds Orion-Plattform ist ein einheitliches System zur Fernüberwachung, Analyse und Verwaltung der IT-Infrastruktur. Diese Software wird von einer Vielzahl von Unternehmen verwendet, darunter namhafte US-Telekommunikationsunternehmen, Banken und große US-Regierungsinstitutionen. Angreifer, die von FireEye, einem US-amerikanischen Cybersicherheitsunternehmen, als UNC2452 bezeichnet wurden, konnten im September 2020 SolarWinds kompromittieren. Sie schafften es geschickt, eine Hintertür mit der Bezeichnung SUNBURST über den dynamischen Software-Erstellungsprozess in die SolarWinds Orion Platform-Software einzufügen und damit mehrere Versionen der Software zu infizieren, die an SolarWinds-Kunden dann über offizielle, digital signierte Updates verteilt wurden.

Laut CrowdStrike3 *, die den Einbruch untersuchen, wurde dies durch eine bestimmte Malware-Komponente namens “SUNSPOT” erreicht. SUNSPOT ist die Malware, mit der die SUNBURST-Hintertür in Software-Builds des SolarWinds Orion-Produkts eingefügt wird. Sie überwacht laufende Prozesse für diejenigen, die an der Kompilierung des Orion-Produkts beteiligt sind, und ersetzt eine der Quelldateien durch den SUNBURST-Backdoor-Code. Eine dritte Malware-Nutzlast heißt “Teardrop” 4 **. Sie wird nach der eigentlichen Kompromittierung durch Sunburst eingeschleust. Teardrop wird verwendet, um einen Cobalt Strike Beacon anzulegen, das zur Kommunikation mit dem gleichnamigen, kommerziellen Command- and-Controlsystem verwendet wird. Zu diesem Zeitpunkt ist noch unklar, wie SolarWinds selbst angegriffen wurde.

Die Sunburst-Hintertür ist insofern ausgefeilt, als sie sich in einer vertrauenswürdigen Komponente versteckt, die mit einem legitimen SolarWinds-Codesignaturzertifikat signiert ist. Die Hintertür befindet sich in einem vertrauenswürdigen Prozess, der für die Verwaltung des IT-Systems verwendet wird. Sie ist also tief in legitimer Software integriert und daher äußerst schwer zu erkennen.

SUNBURST bleibt bei der Erstinfektion zwischen 12 und 14 Tagen vor Beginn seiner Aktivitäten inaktiv. Die Angreifer verwenden SUNBURST für den Erstzugriff, um Anmeldeinformationen zu stehlen. Somit erhalten sie einen sicheren Remotezugriff auf die gefährdete Umgebung. Die so  gestohlenen Anmeldeinformationen werden dann benutzt, um sich weiter über das Netzwerk zu verbreiten.

Die SUNBURST-Hintertür verwendet Steganografie, um seine Kommunikation zu verbergen, und kann legitime Dienstprogramme vorübergehend durch bösartige Versionen ersetzen. Diese benutzen dann einen domänengenerierten Algorithmus (DGA) für die C2-Hostnamen, mit denen sie Kontakt aufnehmen möchten. Die Schadsoftware kann das Vorhandensein von Anti-Malware erkennen, um sich „tot“ zu stellen und jede Aktivität zu stoppen, wenn diese “Blocklisten” -Elemente erkannt werden. Andere Vektoren (außer der Software-Hintertür) wurden möglicherweise ebenfalls von den Angreifern verwendet und werden derzeit untersucht. Die SolarWinds-Geschichte hat sich seit ihrer Veröffentlichung kontinuierlich weiterentwickelt. Mehrere hochkarätige Regierungsbehörden und Unternehmen (einschließlich Microsoft) haben bestätigt, dass sie über die Hintertür in der SolarWinds-Software beeinträchtigt wurden.

Zu den Opfern zählen bisher das US-Finanzministerium, die US-amerikanische NTIA, das US-Energieministerium und die US-Atomwaffenbehörde. Microsoft war ebenfalls ein Opfer und hat zusätzliche Details zu dem Angriff bekannt gegeben. Das Unternehmen berichtete, dass es ungewöhnliche Aktivitäten mit einer kleinen Anzahl von Konten festgestellt habe. Weitere Untersuchungen ergaben, dass Angreifer diese Konten verwendeten, um Quellcode in mehreren Quellcode-Repositorys anzuzeigen.

Laut Microsoft *** wurde kein Code geändert, da die Konten nur schreibgeschützte Berechtigungen hatten. Microsoft behauptet, dass die Angreifer, die Quellcode anzeigen, keine Erhöhung des Risikos bedeuten, da das Bedrohungsmodell bereits davon ausgeht, dass Angreifer den Quellcode kennen. Microsoft hat nicht bekannt gegeben, welche seiner Produkte betroffen waren oder wie lange sich Hacker im Netzwerk befanden.

Wir halten es für einen Fehler, sich zu sehr auf die spezifischen Details des SolarWinds-Angriffs zu konzentrieren. Stattdessen müssen wir erkennen, dass die Sicherheitslandschaft fließend und dynamisch ist, sich schnell und kontinuierlich umformt. Wir müssen uns so aufstellen, dass wir sie angemessen im Blick behalten und Schritt halten können. Wir sollten uns nicht von der Identität des Angreifers oder den Spekulationen über staatlich unterstützte Gegner ablenken lassen. Ransomware-Angriffe, Botnets, Crypto Miner und dergleichen folgen derselben „opportunistischen“ Philosophie, bei der kein Ziel zu klein oder unbedeutend ist.

Aus diesem Grund ist es entscheidend, eine neue Denkweise anzunehmen, weg von naiven, regelbasierten Sicherheitspraktiken hin zu einem agilen, informationsbasierten Ansatz.

Bei Orange Cyberdefense implementieren wir eine Philosophie der „Intelligence-led Security“, um sicherzustellen, dass wir über wichtige Ereignisse wie SolarWinds informiert werden und agil genug sind, um unseren Kunden die angemessene Reaktion zu bieten, wenn neue Bedrohungen und Schwachstellen auftreten. Intelligenzgesteuerte Sicherheit ist die Erfassung und Analyse sowohl interner Daten aus unseren mannigfaltigen Sicherheitsoperationen, als auch externer Datenquellen wie etwa CVE-Datenbanken und der Überwachung einschlägiger Darknet- und Deep-Web-Quellen. Ziel ist es, die sich ständig ändernde Risiken zu verstehen. So können Sicherheitsressourcen dort angemessen investiert werden, wo sie die größten Auswirkungen haben.

World Watch

Der “World Watch” -Dienst bündelt auf globaler Ebene Informationen über Bedrohungen und Schwachstellen. Er analysiert und fasst sie zusammen, um umsetzbare Sicherheitsinformationen bereitzustellen, die für unsere Kunden relevant sind. Die World Watch-Signale werden von einer eigenen Sicherheitsforschungseinheit erstellt. Unser Prozess sammelt kontinuierlich Sicherheitsinformationen aus diversen internen und offenen Quellen und verarbeitet sie dann zu verwertbaren Sicherheitsbulletins, den so genannten “Signalen”, die CISOs und Sicherheitsmanagern zur Verfügung gestellt werden können, in einer sofort verwertbaren Form.

Ein Schlüsselelement des World Watch-Prozesses ist, dass die gesammelten Informationen unverzüglich aufbereitet und unmittelbar an unsere operativen Teams übermittelt werden. So ist sichergestellt, dass die entsprechenden Maßnahmen für unsere Kunden sofort ergriffen werden können.