Es war einer der spektakulärsten Cyberangriffe aller Zeiten: Im Herbst 2019 griffen Hacker SolarWinds an und schleusten im Frühjahr 2020 eine Malware in ein Update der Orion-Plattform von SolarWinds ein. Kunden, die die kompromittierte Version der Netzwerkmanagement-Software installierten, bekamen die Backdoor „SUNBURST“ gleich frei Haus – darunter zahlreiche US-Regierungsbehörden und große Unternehmen. Gut getarnt konnten die Hacker so lange Zeit unbemerkt Daten ausspionieren. Hier erfahren Sie, wie Sie sich mit Greenbone Networks‘ Lösungen vor dem SolarWinds-Angriff schützen können.

Den Cyberkriminellen ist damit ein nahezu perfekter Coup gelungen. Das Perfide daran: Kunden von SolarWinds nutzen die Orion-Plattform eigentlich, um ihre IT-Umgebung zu überwachen. Ausgerechnet eine Software, die schützen soll, bringt also die Gangster ins Haus. Dabei gingen die Angreifer ganz gezielt und äußerst raffiniert vor. Sie attackierten SolarWinds zunächst mit der speziell entwickelten „SUNSPOT“-Malware. Diese infiltrierte eine bösartige Hintertür mit dem Namen „SUNBURST“, manchmal auch „Solorigate“ genannt, in den Produktionsprozess der Produktlinie „SolarWinds Orion-Plattform“. Die Malware wurde direkt in den Code eingebettet und mit einer gültigen Software-Signatur versehen. Dadurch war sie perfekt getarnt. Mit dem kompromittierten Update konnte die Backdoor dann unbemerkt an die Kunden verteilt werden.

Lange Zeit unentdeckt

Am 12. Dezember 2020 wurde SolarWinds über den Vorfall informiert und hat Untersuchungen eingeleitet. Das Sicherheitsunternehmen FireEye, das zu den betroffenen Opfern gehört, veröffentlichte zusätzliche Informationen über den Einbruch in sein Netzwerk. Demzufolge hatten die Cyberkriminellen verschiedene Angriffswerkzeuge von FireEye gestohlen, die das Unternehmen für Tests seiner eigenen Kunden verwendet. Auch andere SolarWinds-Kunden meldeten Sicherheitsverletzungen. Doch damit noch nicht genug: Während der Untersuchung des Vorfalls fanden Sicherheitsforscher eine weitere Backdoor, die offensichtlich von einer zweiten, unabhängigen Hackergruppe stammt. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10148 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. In jüngster Zeit wurden außerdem mehrere neue Schwachstellen entdeckt, die eine vollständige Remote-Codeausführung ermöglichen können, wenn sie nicht gepatcht werden.

Im Greenbone Security Manager (GSM) sind die passenden Schwachstellentests bereits integriert

Rund 18.000 Kunden haben das kompromittierte Update von SolarWinds erhalten und sind damit potenziell vom Hack betroffen. Nicht bei allen sind die Cyberkriminellen aber auch durch die Hintertür eingedrungen und haben Daten abgegriffen. Bisher haben sie sich wohl auf besonders attraktive Ziele konzentriert. Sind Ihre Netzwerke auch gefährdet? Als Kunde von Greenbone Networks können Sie das schnell herausfinden. Denn wir haben sofort reagiert, als der Vorfall bekannt wurde und entsprechende Schwachstellentests in den Greenbone Security Manager integriert. Das Vulnerability Scanning zeigt an, ob Ihre IT-Umgebung über „SUNBURST“/„Solorigate“ oder CVE-2020-10148 verwundbar ist und Sie damit zu den potenziellen Angriffszielen zählen. Außerdem kann der GSM prüfen, ob Sie bereits Opfer von „SUPERNOVA“ oder den zusätzlich von den Hackern genutzten Malware-Tools „TEARDROP“ oder „Raindrop“ geworden sind.

Die Lage ist ernst, aber es gibt gute Lösungen

Wer von den genannten Schwachstellen betroffen ist, sollte sie schließen. SolarWinds hat mittlerweile Hotfixes dafür veröffentlicht. Allzu sicher fühlen dürfen wir uns trotzdem nicht. Denn die unbekannte Hackergruppe ist weiterhin aktiv. Erst vor Kurzem hat das Sicherheitssoftware-Unternehmen Malwarebytes mitgeteilt, dass es Opfer eines Cyberangriffs geworden ist. Offensichtlich stecken dieselben Akteure dahinter wie beim SolarWinds-Hack, obwohl Malwarebytes selbst gar keine SolarWinds-Software einsetzt. Als Angriffsvektor haben die Cyberkriminellen Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen missbraucht. Der Schaden war nach eigenen Angaben glücklicherweise gering und Malwarebytes-Software wurde nicht kompromittiert.

Die Vorfälle zeigen allerdings, dass wir eine neue Dimension der Cyberkriminalität erreicht haben. Die Akteure führen perfekt geplante, komplexe und mehrstufige Attacken durch, bei denen sie zunächst eine vertrauensvolle Software hijacken und dann als blinder Passagier zu vielen anderen lukrativen Opfern vordringen. Um solchen Angriffen so wenig Chancen wie möglich einzuräumen, ist es wichtig, Schwachstellen frühzeitig zu erkennen und zu schließen.