Solar Winds: US-Atomwaffenbehörde und Microsoft wurden ebenfalls
Opfer staatlicher Hacker
Solar Winds: US-Atomwaffenbehörde und Microsoft wurden ebenfalls Opfer
staatlicher Hacker
Bisher rund 40 Organisationen bekannt, die mithilfe von Hintertür in
Analysesoftware ausspioniert wurden – Rufe nach Konsequenzen für
Verantwortliche werden lauter
Hacker benutzen Tastaturen. Manchmal sogar welche mit Hintergrundbeleuchtung
(mutmaßlich).
Es begann mit einer Meldung des Sicherheitsdienstleisters Fireeye:
Unbekannte Hacker seien in die eigenen Systeme eingebrochen und hätten dabei
auch für Tests genutzte interne Angriffstools erbeutet, hieß es am 8.
Dezember. Eine Mitteilung, die selbst schon für einiges Aufsehen unter
Experten sorgte, doch sie war bloß ein bescheidener Anfang. Denn wie sich in
den folgenden Tagen herausstellte, handelte es sich dabei nur um einen
kleinen Teil dessen, was sich zunehmend als eine der schwersten – und
professionellsten – Angriffskampagnen der vergangenen Jahre herausstellt.
Atomwaffen
Neben dem Handels- und dem Heimatschutzministerium haben sich die Hacker
dabei offenbar noch in einer anderen US-Behörde breitgemacht: der National
Nuclear Security Administration, also der Atomwaffenbehörde, die für die
Verwaltung der Nuklearwaffen der USA zuständig ist. Auch dort hat man
offenbar über einen längere Zeitraum das interne Netzwerk überwacht und so
die Kommunikation mitgelesen – also klassische Spionage betrieben.
Der Einbruchsweg war dabei einmal mehr derselbe wie bei den anderen bisher
bekannten Opfern: Den Hackern ist es – wie berichtet – gelungen, ein
Netzwerkanalysetool der Firma Solar Winds zu unterwandern – oder, genauer,
deren Update-Server. Auf diesem Weg wurde über mehrere Monate hinweg eine
Hintertür an all die Kunden der Orion genannten Software geschickt.
Insgesamt 18.000 Unternehmen und Organisationen wurden auf diesem Weg mit
einer Hintertür in ihren Systemen versehen.
Aktive, zweite Komponente
Allerdings bedeutet die Platzierung dieses Backdoors noch nicht, dass dieses
auch wirklich aktiv ausgenutzt wurde. Dies ist dann erst in einem zweiten,
und exakt an das jeweilige Opfer angepassten, Schritt erfolgt. Eine Analyse
von Microsoft spricht von 40 Fällen, in denen – bislang – bekannt ist, dass
die Hacker diese nächsten Schritte gesetzt haben. 80 Prozent der
ausspionierten Organisationen sollen in den USA angesiedelt sein, in Europa
gebe es Betroffene in Belgien und Spanien.
Eine Grafik von Microsoft zeigt, wo durch das Backdoor betroffene Kunden
angesiedelt sind. Betont sei dabei, dass die Installation der Hintertür noch
nicht bedeutet, dass auch ein aktiver Angriff gefolgt ist.
Dass der Unterschied zwischen potenziell und real Betroffenen ein relevanter
ist, weiß Microsoft selbst nur allzu gut. Gehört man doch zu jenen 18.000
Solar-Winds-Kunden, die über das unterwanderte Update eine Hintertür ins
Haus geliefert bekamen. Wie das Unternehmen betont, hat man aber keinerlei
Spuren für einen echten Angriff in der Folge gefunden. Und die Infizierte
Software sei mittlerweile entfernt worden.
Parallel dazu hat Microsoft sich noch zu einem anderen Schritt
entschlossen: Über den Windows Defender werden infizierte Versionen von
Solar Winds Orion mittlerweile auf Microsofts Betriebssystem blockiert.
Trotzdem empfiehlt man natürlich den Kunden der Software, dringend eine
Aktualisierung und Bereinigung der eigenen System vorzunehmen.
Staatliche Hacker
In einem sind sich die Experten allesamt einig: Das Level an
Professionalität und auch die Ruhe, mit der die Hacker vorgegangen sind,
verweisen eindeutig auf einen staatlichen Akteur. Offiziell will man sich
angesichts der generellen Schwierigkeit einer eindeutigen Attribuierung von
Cyberangriffen auf niemanden festlegen, hinter vorgehaltener Hand wurde aber
mehrfach an Medien gestreut, dass man die Hacker von "Cozy Bear" (APT 29)
hinter der Attacke vermutet. Dies lasse sich aus dem Vergleich mit früheren
Angriffskampagnen der Gruppe schließen. Ein Vorwurf, der durchaus politische
Brisanz besitzt, soll doch hinter APT 29 niemand anderer als der russische
Geheimdienst FSB stehen. Der Kreml dementiert wie gewohnt jeglichen
Zusammenhang mit den aktuellen Angriffen.
Ernste Gefahr
Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) spricht
jedenfalls von einer "ernsten Gefahr", die von dem jüngsten Hackerangriff
ausgehe. Und zwar einer, die die Betroffenen noch länger beschäftigen werde.
Das Entfernen der Angreifer aus den betroffenen Systemen gestalte sich
"hochkomplex". Zumal offenbar noch lange nicht das volle Ausmaß bekannt ist.
So erwähnt die CISA ganz beiläufig, dass der Einbruch bei Solar Winds nicht
der einzige Angriffsweg gewesen sein soll. Es dürfte also noch – zumindest –
ein zweites viel von Unternehmen und Behörden genutztes Tool unterwandert
worden sein. Details nennt die CISA bislang aber nicht.
Konsequenzen
Unterdessen werden die Rufe nach Konsequenzen lauter. So fordert
Microsoft-Präsident Brad Smith in einem Blogeintrag ein Umdenken. Es brauche
eine stärkere Kooperation zwischen Unternehmen und Regierungen, um gegen
solche Bedrohungen vorzugehen. Zudem müsste aber auch schärfer gegen jene
Nationalstaaten vorgegangen werden, die hinter diesen Attacken stecken.
In diese Kerbe schlägt auch designierte US-Präsident Joe Biden. "Unsere
Gegner sollten wissen, dass ich als Präsident Cyberangriffen auf unsere
Nation nicht tatenlos zusehen werde." Unter seiner Präsidentschaft werde der
Cybersicherheit auf allen Regierungsebenen die höchste Priorität zukommen,
versichert Biden. (Andreas Proschofsky, 18.12.2020)
Solar Winds: US-Atomwaffenbehörde und Microsoft wurden ebenfalls Opfer
staatlicher Hacker - IT-Security - derStandard.at › Web
https://www.derstandard.at/story/2000122616219/solarwinds-us-atomwaffenbehoerde-und-microsoft-wurden-ebenfalls-opfer-staatlicher-hacker
