Cyber-Immunität von Wertschöpfungsketten Fremde Staatsgewalt im heimischen Cyberspace

Eine Serie von Cyberattacken vom Anbruch der Pandemie zieht sich in die Länge wie ein Kaugummi. Die Angriffe wollen nicht aufhören. Fremde Staatsgewalt im heimischen Cyberspace ist nun mal eine Bedrohung der besonderen Art.

Selten ist ein großer Aufschrei so zutiefst gerechtfertigt wie jener um die Attacken gegen Microsofts Technologien, darunter 365 und Azure, über SolarWinds. Der Hack sei „der größte Angriff auf die westliche Welt“ in Jahrzehnten, bemerkte ein deutscher Bundestagsabgeordneter. Das ist nicht einmal übertrieben. Deutsche Behörden wie das Bundeskriminalamt und das Robert Koch-Institut sind den Tätern zum Opfer gefallen. Der deutsche Mittelstand ist von der Spyware stark betroffen.

Aktualisierungen der Flaggschiff-Netzwerkmanagement-Software Orion des Sicherheitsanbieters SolarWinds, die zwischen März 2020 und Juni 2020 veröffentlicht wurden (Versionen 2019.4 bis 2020.2.1), waren mit der SUNBURST-Malware (a.k.a Solorigate) verseucht. Rund 18.000 Organisationen sollen die Malware heruntergeladen haben.

Alle 300 potenziellen Opfer der verseuchten Orion-Updates in Deutschland seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 11. Februar informiert worden. Alles wird gut also? Nicht ganz. Denn diese Liste ist nur die Spitze des Eisbergs. Zu den gefährdeten Organisationen zählen eigentlich auch Nutzer wie auch Anbieter sonstiger verwundbarer IT-Lösungen, die weiter unten entlang der Software-Versorgungskette kompromittiert wurden – zum Beispiel Microsoft. (Zu Supply-Chain-Attacken siehe auch den Bericht „IoT unter Beschuss. Risiko: Supply-Chain-Attacken“).

Vor einigen Monaten hatte die Reuters-Agentur vor einem Hack gegen autorisierte Microsoft-Händler berichtet, bei dem die Täter Zugriffsberechtigungen dieser Unternehmen auf Microsofts Produktivitätssoftware zum Ausspähen von Emails missbraucht haben sollen.

Im gleichen Zeitraum haben sich Attacken zweier unabhängiger souveräner Akteure gegen den Cybersicherheitsanbieter SolarWinds überlappt. Bei einer dieser Aktionen nutzten Angreifer Verwundbarkeiten im Code der Orion-Plattform von SolarWinds als Sprungbrett zur Übergabe manipulierter Softwareaktualisierungen an Kunden, des Remote-Access-Trojaners "Sunburst". Im Zuge dieser klassischen Supply-Chain-Attacke seien die Hacker unter anderem in Hochsicherheitsnetzwerke der US-Bundesregierung eingebrochen.

Eine Katastrophe in der Mache

Infolge der Supply-Chain-Attacke gegen die Netzwerküberwachungssoftware von SolarWinds soll eine Gruppe von Hackern zwischendurch in Microsofts interne Systeme mit Code-Repositories eingedrungen sein, wo sich die Täter Zugriff auf proprietäre Quellen verschafft haben sollen.

Diese Serie von Cyberattacken, getauft auf den Namen Solorigate, soll den Tätern ermöglicht haben, ein Einfallstor in Microsofts Lösungen bei Unternehmenskunden zu finden. Damit bestehe Gefahr, dass die Angreifer Microsofts Technologien missbrauchen könnten, um die Nutzer im großen Stil abzulauschen und/oder deren Kommunikation zu manipulieren.

Seit dem Hack der Download-Server von SolarWinds häufen sich Probleme im Zusammenhang mit Microsofts Produkten und Technologien.

Forscher des Cybersicherheitsanbieters F-Secure schlagen Alarm: Cybertäter feuern gerade täglich eine beachtliche Anzahl von Cyberangriffen gegen verwundbare Exchange-Server von Microsoft ab. Zehntausende dieser Kommunikationsserver seien bereits kompromittiert worden. Die Systeme würden „schneller gehackt werden, als wir es gezählt bekommen“, sagt Antti Laatikainen, Senior Security Consultant bei F-Secure. „Aus der globalen Perspektive gesehen bahnt sich gerade eine Katastrophe an,“ urteilt der Sicherheitsexperte weiter.

Microsoft hatte im Laufe des Monats März 2021 mehrere kritische Sicherheitspatches veröffentlicht, um die Verwundbarkeiten im Exchange Server zu schließen. Doch die meisten Betroffenen hätten es nicht einmal richtig zur Kenntnis genommen. Viele Systeme blieben bis heute ungepatcht.

Um jene Nutzer zu schützen, hat Microsoft den Defender Antivirus um Fähigkeiten zur automatischen Schadensbegrenzung erweitert.

Ein kompromittierter Microsoft Exchange Server gewährt den Angreifern nicht „nur“ Zugang zu sensiblen Informationen auf dem betroffenen System, sondern sei auch ein potenzielles Einfallstor für weitere Angriffe wie zum Beispiel Ransomware-Kampagnen. Selbst diejenigen Nutzer, die alle relevanten Sicherheitsupdates zeitnah eingespielt hätten, könnten laut F-Secure das Problem bei Weitem nicht ganz ausschließen, denn die Patches böten ja rückwirkend keinen Schutz.

Microsoft schreibt die Verantwortung für die Angriffe einer Hackergruppe mit fortgeschrittenen Fähigkeiten zum Aufrechterhalten einer beständigen Bedrohung (kurz ATP für Advanced Persistent Threat) namens Hafnium zu. Die Gruppe sei staatlich gesponsert und würde Microsoft zufolge von China aus arbeiten.

Laut Angaben des Sicherheitsforschers Vinoth Kumar habe sich SolarWinds den Hack zum Teil selbst zuzuschreiben. Das Unternehmen habe im vergangenen Jahr den Schreibzugriff auf seinen Update-Server beliebigen Nutzern mit dem Passwort solarwinds123 gewährt. Beim Bekanntwerden der Sicherheitslücke habe Kumar das Management gewarnt.

Nach dem Entdecken des Trojaners lagen die verseuchten Updates noch mehrere Tage lange downloadbereit auf dem Server.

SolarWinds möchte seine IT-Tochter SolarWinds MSP im März 2021 dringend umbenennen. Der neue Firmenname klingt fast schon ironisch: N-able (ausgesprochen wie: „enable“). Treffend formuliert.

Jack B. Blount, Präsident und CEO von Intrusion, Anbieters der Appliance Intrusion Shield, könne gar nichts mehr schocken. Er habe in seiner Karriere Hunderte von Netzwerken analysiert. „Jedes Netzwerk, das ich in den letzten 10 Jahren untersucht habe, war mit Malware infiziert“, sagt Blount. Sein Unternehmen bietet mit der konfigurationsfreien Appliance zum Untersuchen von Netzwerkkonnektivität eine reine KI-Lösung. Die Box untersucht jedes Paket im Netzwerk einzeln.

Vom Netzwerkwächter zur Trojaner-Schleuder

„Wir verwalten jedermanns Netzwerkausrüstung“, verkündete stolz Kevin Thompson, seinerzeit der CEO von SolarWinds, auf einer Telefonkonferenz zum Börsengang des Unternehmens im Oktober des vergangenen Jahres, und feierte, wie weit es in den elf Jahren seiner Amtszeit gekommen sei. Rund zwei Monate später war die Hölle los.

Der SolarWinds-Hack gehört nach dem heutigen Stand zu den ehrgeizigsten Cyber-Operationen, die jemals ans Tageslicht kamen. Er führte zu folgenschweren Einbrüchen. Und er will einfach nicht aufhören.

An den Anstrengungen liegt es aber nicht. Um die Verbreitung der SUNBURST-Malware von SolarWinds zu unterbinden hatte Microsoft gemeinsam mit Mandiant Solutions, einer Sparte des Sicherheitsspezialisten FireEye, und dem Domänen-Registrar GoDaddy Ende des vergangenen Jahres die Domaine beschlagnahmt, die sich am Vertrieb bösartiger Payloads beteiligt haben soll. Doch für viele Opfer kam dieser Schritt offenbar zu spät; die Hacks breiten sich weiterhin aus. Netzwerk- und Sicherheitsprodukte von SolarWinds sind weltweit bei mehr als 300.000 Kunden im Einsatz.

Cyberspionage auf dem Vormarsch

Blount sieht die größte Gefahr im Diebstahl von geistigem Eigentum durch Cyberspionage. „Wir mussten einmal zusehen“ erinnert er sich, „wie ein chinesisches Unternehmen den Quellcode einer neuen, noch nicht vorgestellten Software von seinem nordamerikanischen Mitbewerber kopierte und das Produkt auf den Markt warf, bevor der legitime Urheber mit der Entwicklung fertig werden konnte“.

Mandiant Solutions hat inzwischen ein kostenfreies Werkzeug namens Azure AD Investigator veröffentlicht, mit dem sich die Präsenz der Hacker der UNC2452-Gruppe durch einen manuellen Audit bestätigen lassen soll. Die Gefahr sei persistent, warnt Mandiant Solutions in seiner neuesten Bedrohungsmeldung vom 18. März 2021.

Mandiant hat beobachtet, dass UNC2452 und andere Bedrohungsakteure seitlich in die Microsoft 365-Cloud eindringen. Sicherheitsanalysten hätten kürzlich beobachtet wie böswillige Akteure die Zugriffsberechtigungen auf Verzeichnisse von Benutzerpostfächern änderten, um sich dauerhaften Zugriff auf E-Mails der Betroffenen zu verschaffen. Diese heimtückische Technik werde von Abwehrsoftware in der Regel nicht überwacht und böte Bedrohungsakteuren eine Möglichkeit, mit beliebigen kompromittierten Anmeldeinformationen auf die gewünschten E-Mail-Nachrichten zuzugreifen.

Mandiant hat die zugehörige Dokumentation und das Azure AD Investigator-Tool um die neuen Erkenntnisse aktualisiert. Das Unternehmen bedankte sich außerdem explizit bei den Mitgliedern des Detection and Response Teams (DART) von Microsoft für die Zusammenarbeit bei der Untersuchung.

Dieselben Angreifer, die SolarWinds als eine Trojaner-Schleuder missbrauchten, sollen auch den Sicherheitsanbieter Malwarebytes angegriffen haben. Am 15. Dezember erhielt das Unternehmen eine Warnung vom Microsoft Security Response Center über verdächtige Aktivitäten einer Drittanbieteranwendung im betreffenden Microsoft Office 365-Tenant. Malwarebytes habe zu der internen Untersuchung das Detection and Response Team (DART) von Microsoft hinzugezogen, um Cloud-gebundene wie auch lokale Umgebungen unter die Lupe zu nehmen.

Die eingehende Analyse habe ergeben, dass Angreifer ein inaktives E-Mail-Schutzprodukt innerhalb des Office 365-Tenants von Malwarebytes ausnutzten, welcher allerdings nur sehr beschränkten Zugriff auf eine geringe Teilmenge interner Unternehmens-E-Mails ermöglichte und ohne Cloud-Dienste von Azure auskam. Im Rahmen der Untersuchung konnte Malwarebytes die Existenz eines weiteren Angriffsvektors bestätigen, der über den Missbrauch von Anwendungen mit privilegiertem Zugriff auf Microsoft Office 365- und Azure-Umgebungen funktioniere.

Im Jahre 2019 hatte ein Sicherheitsforscher eine Schwachstelle in Azure Active Directory aufgedeckt, die es erlaubte, durch die Zuweisung von Berechtigungsnachweisen an Anwendungen Benutzerprivilegien zu eskalieren. Diese Schwachstelle bestand noch im September 2019 und lief im Wesentlichen auf einen Hintertür-Zugang zu Microsoft Graph und Azure AD Graph. Anwendungen von Drittanbietern lassen sich demnach missbrauchen, wenn sich ein Angreifer mit ausreichenden administrativen Rechten Zugriff auf einen Azure-Mandanten verschaffe. Im Falle von Malwarebytes habe der Bedrohungsakteur ein selbstsigniertes Zertifikat mit Anmeldeinformationen zum Hauptkonto des Dienstes hinzugefügt. Von dort aus konnte er sich mit dem Schlüssel authentifizieren und API-Aufrufe tätigen, um E-Mails über MSGraph anzufordern.

Für viele Unternehmen kann die Absicherung von Azure-Tenants eine Herausforderung darstellen, insbesondere wenn sie mit Anwendungen von Drittanbietern oder Resellern zu tun haben.

Die Sicherheitsfirma CrowdStrike hat kürzlich ein Tool veröffentlicht, welches Unternehmen dabei helfen soll, Risiken in Azure Active Directory zu identifizieren und abzumildern: Die Cybertäter von SolarWinds und Malwarebytes hatten sich eben auch CrowdStrike vorgenommen, blieben jedoch bei ihren Attacken erfolglos.

Fazit

Die neueste Welle von Cyber-Angriffen bringt einen Hoffnungsschimmer mit sich: Die IT-Industrie kommt auf einmal zusammen, um gegen die unverschämten Täter hoffentlich bald die volle Breitseite abzufeuern. Es wäre mal endlich an der Zeit, ein paar alte Sicherheitslücken zu schließen.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:47327053)