fbpx

Cyberangriff auf die USA eskaliert immer weiter

Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert. Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.

Das von einem einem Cyberangriff schwer getroffene Unternehmen SolarWinds hat zwei der bekanntesten Experten für Cybersicherheit engagiert. Alex Stamos, dem Ex-Sicherheitschef von Facebook und Professor an der Universität Stanford sowie dem von Donald Trump zuletzt gefeuerten Direktor der US-Cybersicherheitsagentur (CISA) Chris Krebs steht eine gigantische Aufgabe bevor.

Die monatelang mit Schadsoftware verseuchten Kontrollsysteme von Solarwinds stehen an den neuralgischen Punkten von 18.000 der größten Netzwerke vorwiegend in den USA, etwa zehn US-Ministerien und Behörden wurden nachweislich bereits angegriffen. Zuletzt kam das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit dazu. Am Mittwoch erweiterte die CISA ihren Warnungskatolog, denn das ist keine gewöhnliche Spionageaktion, sondern ein skalierender Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.

.Microsoft Dokument

Microsoft

Die Stellungnahme Microsofts führt eine geringe Anzahl kompromittierter Konten in seinem Netz an und dass es keine Veränderungen am Quellcode gegeben habe. Die Warnung der CISA vom 8. Januar liest sich deutlich dramatischer.

Zweiter Angriffsvektor noch ungeklärt

Der Angriff hatte bereits im Oktober 2019 begonnen, im Frühjahr 2020 wurde er virulent und eskalierte unentdeckt bis zum November.

Die neuen Warnungen der CISA betreffen einen zweiten, noch nicht identifizierten Angriffsvektor, denn die Spuren der Angreifer sind auch in Netzen aufgetaucht, in denen die betroffene Orion-Suite von Solarwinds gar nicht im Einsatz war. Diese Spuren führen zu digitalen Zertifikaten für die Sicherheits- und Authentifizierungsprotokolle der Azure-Cloud von Microsoft. Das Unternehmen hatte schon relatіv bald eine Kompromittierung seiner Netze einräumen und zuletzt bekanntgeben müssen, dass Angreifer bis nahe zu den Kronjuwelen vorgedrungen waren, nämlich zu den Quellcodes der Software, die bei der Verwaltung der Azure-Cloud zum Einsatz kommt.

Wenn sich bestätigen sollte, dass am Zertifizierungsprozess für den Quellcode der Azure-Cloud manipuliert wurde, erhielte der Fall eine völlig neue Dimension, denn mit 18 Prozent Weltmarktanteil ist Microsoft zweitgrößter Anbieter im globalen Cloudgeschäft hinter Amazon. Das ohnehin schon unübersichtlich große Bedrohungsszenario würde dadurch noch erweitert und ebenso, wenn sich ein weiterer Verdacht bestätigt, dem das FBI gerade nachgeht. Das einer breiteren Öffentlichkeit kaum bekannte Unternehmen JetBrains aus der tschechischen Republik, dessen Software-Distributionssystem TeamCity von 80 Prozent der Top 100 US-Fіrmen verwendet wird, soll ebenfalls kompromittiert worden sein.Grafik mit Computer, Fingerabdruck und Kamera

SolarWinds

Die Ironie ist, dass ausgerechnet ein Frühwarnsystem gegen Angriffe wie die Orion-Plattform von SolarWinds das Einfallstor für alle Attacken darstellte. Die Analyse der Sicherheitsfirma FireEye, die selbst gehackt wurde, listet alle bis jetzt bekannten Angriffstechniken auf.

Angriffskaskade in der Lieferkette

Ende Oktober wurden sechs Akteure der russischen Sandworm Group in den USA angeklagt und weitgehende Sanktionen verhängt.

Wie Microsoft dementiert auch JetBrains eine Kompromittierung seiner Software, allerdings liegt der Verdacht schon nahe, dass der noch nicht identifizierte, zweite große Angriffsvektor mit Produkten dieser beiden Unternehmen zu tun haben sollte. Die Standardfrage nach jedem Großangriff im Cyberraum – wieviel und welche IT-Systeme betroffen oder akut gefährdet sind, ist mittlerweile eher umgekehrt zu stellen, nämlich, wieviele große Netze dadurch nicht betroffen sind. Es ist ein kaskadierender Angriff, der mit der Infiltration einer Lieferkette begann, nämlich der Software-Produktion von SolarWinds.Chris Krebs, ehem. Chef der US Cyber Security Agency, den Trump gefeuert hat

Greg Nash / POOL / AFP

Chris Krebs war Mitte November von Donald Trump als CISA-Direktor entlassen worden, weil er sich geweigert hatte, Trumps Verschwörungstheorie von massivem Wahlbetrug zu verbreiten.

Die mit Malware verseuchten Software-Updates der Firma wurden über deren Distributionsnetz in den Netzwerken der Kunden regulär installiert, so eben auch bei Microsoft. Da die Zugangsdaten für den Auslieferungsserver der Software-Updates vor dem Angriff monatelang im Klartetxt auf Github verfügbar waren, konnten die „Kuschelbären“ (siehe unten) bequem überprüfen, ob ihre eigeschmuggelte Hintertür auch tatsächlich in den aktuellen Updates enthalten war. Wie sie den Build-Prozess, in dem die Codes der einzelnen (regulären) Programmierer zusammengeführt werden, infiltriert hatten, ist bis dato nicht bekannt. Ein tragende Rolle bei diesem Prozess spielte jedenfalls die Firma JetBrains, die bei Solarwinds eingesetzt wird, um den Softwareproduktionsprozess zu koordinieren.

Elitetruppe Kuschelbär

Die Angreifer sind mit an Sicherheit grenzender Wahrscheinlichkeit APT 29, alias Cozy Bear (Kuschelbär) – so das einhellige Urteil der Sicherheitsbranche – eine ganz auf fortgeschrittene elektronische Nachrichtenaufklärung, also auf Netzwerkspionage ausgerichtete Einheit des russischen Auslandsgeheimdienstes SVR. APT 29 ist das Gegenstück zu NSA-Abteilungen wie der Equation Group, das von Edward Snowden ans Licht gebrachte Konvolut zeigt ziemlich klar, was solche Einheiten unter „Network Intelligence“ verstehen und welche Methoden angewendet werden. Angriffe von NSA und GCHQ auf Lieferketten werden da ganz selbstverständlich als Instrumente zur Nachrichtenaufklärung geschildert.

Ein Angriff des militärischen Gegenstücks der Kuschelbären, nämlich APT28 alias „Fancy Bear“, hatte das gesamte Netz des deutschen Bundestags 2015 so gründlich verseucht, dass 20.000 PCs getauscht werden mussten.

Folgerichtig wird auch dieser Fall in den USA offiziellerseits als Spionageakt eingestuft.Es bleibt auch nicht viel anderes übrig, denn bis jetzt wurden weder Steuerungssysteme für Kraftwerke, Raffinerien oder andere Produktionsanlagen angegriffen, noch gab es mutwillige Zerstörungen. Eine hochklassige Truppe wie Cozy Bear hätte ihre multiple Präsenz in den Netzwerken von Ministerien, Regierung und Behörden auch nützen können, um diese Netze gleichzeitig zu verschlüsseln. An den Maßstäben der USA gemessen haben diese Kuschelbären mit diesem Angriff also keine roten Linien überschritten, auch wenn dieser Angriff durch seine schiere Dimension eine Qualität angenommen hat, die weit über einen reinen Spionageangriff hinausgeht.

Was an vorläufigen Erkenntnissen vorliegt

Alex Stamos, Stanford Professor, Ex Sicherheitschef Facebook

Wikimedia Commons / CC BY 2.0

Alex Stamos gilt als einer der besten Troubleshooter bei der Absicherung sehr großer Netzwerke sowie bei Cybergroßvorfällen CC BY 2.0

Die Angreifer legten deutlich höheren Wert auf eine möglichst breite Eskalierung des Angriffs, als auf eine verdeckte und persistente Spionagekampagne. Hätte man (nur) das im Sinn gehabt, wäre bei weitem nicht so breit gleichzeitig skaliert worden, denn damit steigt das Risiko, aufzufliegen in lichte Höhen. Die Firma FireEye wäre gar nicht angegriffen worden, da sie als verlängerter Arm der NSA im Defensivbereich und härtester Gegner aller russischen APT-Gruppen gilt. Dort wurde nicht nur spioniert, vielmehr hatten die Kuschelbären auch die Red-Team-Tools des Unternehmens mitgenommen. Das ist eine digitale Werkzeug- und Materialkiste, wie sie etwa Penetrationstester verwenden, um durch simulierte Angriffe die Netzwerksicherheit zu testen.

Da FireEye damit rechnen musste, dass diese Software-Tools öffentlich gemacht oder gar in eine Cyberwaffe eingebaut wurden, sah sich die Firma gezwungen, ihr gesamtes Arsenal in einer demütigenden Offenlegungsaktion öffentlich zu „verbrennen“. All das geschah vor den Augen der NSA, die solche Angriffe eigentlich abwehren sollte. Man sieht also, dass den Angreifern die psychologischen Auswirkungen dieses Angriffs weit wichtiger waren als Spionage. Allerdings ist da noch eine gewaltige, strategische Komponente mit im Spiel. Die Kuschelbären hatten alle Zeit der Welt, in Netzwerken von besonderem Interesse unauffällige Implants verdeckt zu deponieren, um zu einem Zeitpunkt ihrer Wahl zurückzukehren.

Quelle: https://fm4.orf.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.