Solarwinds: Beispielloser Angriff auf Netze in aller Welt

22.01.2021
G DATA Blog

Mitte Dezember 2020 schlug eine Meldung über einen beispiellosen Angriff auf tausende Netzwerke wie eine Bombe in der Netzwelt ein. Regierungsbehörden und Privatunternehmen mussten feststellen, dass ihre Netzwerke kompromittiert waren. Wir beleuchten die Hintergründe.

Im Dezember machten Berichte die Runde, dass viele Netzwerke von Behörden und Privatunternehmen zum Ziel eines bisher beispiellosen Angriffs geworden waren. Hinter dieser Welle von Angriffen steckte jedoch nicht eine besonders kritische Windows-Sicherheitslücke, die ungepatcht blieb und keine Schadsoftware die diese ausnutzte. So etwas hatten wir schon im Fall Wannacry gesehen. Was alle Angriffsopfern gemeinsam hatten, war eine Netzwerkverwaltungssoftware des Herstellers Solarwinds. Es stellte sich heraus, dass diese mit einer Spionagesoftware durchsetzt war – und zwar ohne Wissen des Herstellers. Wie das möglich war? Durch die Kompromittierung der Entwicklungsumgebung. Die Spionagesoftwaremit dem Namen Sunburst wurde nicht im „Hau-Ruck“-Verfahren in die Netzwerksoftware eingebaut.  

Erkenntnissen von Solarwinds nach, welche in einem Blogpost auf dem unternehmenseigenen Blog aufgeführt sind, haben Kriminelle über Monate unbemerkt von außen immer neue Einzelkomponenten hinzugefügt, um keinen Verdacht zu erregen und nicht zu viel „Lärm“ zu machen. Am Ende stand eine Spionagesoftware, die fest in die Netzwerkverwaltung eingebaut war und die Solarwindspraktischerweise auch  direkt ausgeliefert hat. Die verseuchten Software-Updates erregten nirgendwo Verdacht und wurden in zahlreichen Unternehmen weltweit installiert. Mitte Dezember 2020 fiel das Problem dann bei Solarwinds auf. Innerhalb von Tagen waren Updates verfügbar, welche die betroffenen Versionen der Orion-Netzwerkverwaltung von der schädlichen Last befreite.  

Vom Wind zum Sturm

Die Urheberschaft ist bislang nicht zweifelsfrei geklärt, es gibt aber einige tragfähige Hinweise, die nach Russland deuten. Dafür spricht, dass die Spionagesoftware Ähnlichkeiten mit früheren Schadprogrammen hat, die mit einiger Sicherheit ihren Ursprung in Russland haben und denen eine Nähe zu Geheimdiensten nachgesagt wird. Diese Spuren gehen bis hin zu einem früheren Spionageprogramm namens Turla – auch bekannt unter dem Namen Uroburos, an dessen Analyse G DATA Sicherheitsexperten seinerzeit beteiligt waren.(LINK) Doch das muss nicht unbedingt heißen, dass ein russischer Geheimdienst der Urheber ist – es ist ebenso möglich, dass ein Entwickler dahintersteht, der auch an anderen Programmen gearbeitet hat, welche Ähnlichkeiten zum vorliegenden Fall haben, und der jetzt den Arbeitgeber gewechselt hat. Bisher gibt es jedoch keine Hinweise, die von Russland weg deuten. Die abschließende Antwort wird weiter auf sich warten lassen und kann noch weitere unerwartete Verbindungen zutage fördern. Ein Beispiel dafür, welche Wendungen ein solcher Fall nehmen kann, ist Sandworm – dieser Fall wurde auch zu einem sehr lesenswerten gleichnamigen Buch aufgearbeitet. 

Motive

Sunburst war und ist auf langfristiges Sammeln und Ausleiten von Informationen ausgelegt. Das steht nach einer eingehenden Analyse zahlreicher Forscher fest. Die Eindringlinge hatten monatelang Zeit, sich in aller Ruhe in den kompromittierten Netzwerken umzusehen. Bei vielen der betroffenen Behörden steht noch gar nicht abschließend fest, auf was die Angreifer alles Zugriff hatten. Microsoft gab zum Beispiel bekannt, dass vermutlich ein Zugriff auf Quellcode bestanden hätte. Im Fall von FireEye waren es spezielle Werkzeuge. Welche Daten jedoch bei betroffenen Behörden abgegriffen wurden, ist derzeit noch nicht bekannt. Auch der Aufwand, der für die Entwicklung und Platzierung in den Systemen von Solarwinds erforderlich war, ist in Indikator, der in Richtung Spionage weist. Anders als wirtschaftlich oder ideologisch motivierte Tätergruppen sind Spione nicht auf schnelle Ergebnisse angewiesen und können sich wesentlich mehr Zeit mit ihren Angriffen lassen. Erste Maßnahmen, die die Implantierung von Sunburst vorbereiteten, wurde aller Wahrscheinlichkeit nach bereits im Frühjahr 2019 umgesetzt. Auch sind staatliche Auftraggeber finanziell meistens sehr gut ausgestattet, sodass auch ein entsprechender Aufwand bei der Entwicklung betrieben werden kann. 

Angriffe auf Zulieferer und Versorgungsketten

Diese Art von breit gestreuten Angriffen richtet sich explizit gegen Versorgungsketten (Supply Chains). Statt mit hohem personellen Aufwand mehrere Ziele einzeln zu infiltrieren, ist es aus Sicht eines Angreifers viel effizienter, einen gemeinsamen Nenner zu finden, welcher alle potenziell interessanten Ziele vereint – und den Angriff dann gegen diesen gemeinsamen Nenner zu richten. Genau das ist im Fall Solarwinds geschehen. Die Taktik an sich ist bereits seit der Antike bekannt und setzt sich bis in verschiedenste Bereiche der Neuzeit fort. Doch Angriffe gegen Supply Chains sind nicht nur Teil des Spionage- und Kriegsrepertoires – es gibt auch wirtschaftlich motivierte Angriffe auf Versorgungs- und Lieferketten. So haben die Analysten von G DATA ebenfalls vor einigen Jahren entdeckt, dass preiswerte Smartphones aus Asien in manchen Fällen mit einer manipulierten Firmware ausgeliefert werden, welche nicht nur persönliche Daten abgreift, mit dem Zweck diese zu verkaufen, sondern auch mit automatisierten Installationen von Apps Geld generieren. Installiert wurde diese manipulierte Software aller Wahrscheinlichkeit nach jedoch nicht beim eigentlichen Hardwarehersteller, sondern vermutlich entweder bei einem Dienstleister oder einem Zwischenhändler.  

Bescheiden, aber nicht hoffnungslos

Der Fall „Sunburst“ zeigt wieder einmal zwei Dinge sehr deutlich: Erstens, dass Firmen und Behörden keine Wahl bleibt als auf ihre Zulieferer zu vertrauen – und zweitens, dass selbst absolute Profis auf dem Bereich der IT-Sicherheit nur wenig Chancen haben, wenn Angreifer – mit welchem Hintergrund auch immer – genug Mittel und Motivation mitbringen, um sich unbemerkt einzuschleichen. Das einzig positive ist jedoch, dass zumindest Solarwinds sehr schnell reagiert hat und sehr offen kommuniziert. Auch die Zusammenarbeit mit anderen Herstellern, sowie betroffenen Organisationen war bisher vorbildlich. In diesem Zusammenhang wird auch deutlich, dass die Sicherheits-Community insgesamt – bei aller geschäftlichen Konkurrenz – ausgezeichnet vernetzt ist und untereinander kooperiert. Denn schlussendlich haben eigentlich alle das gleiche Ziel. 

Tim Berghoff
Security Evangelist

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar