SolarWinds: NSA & Co. mahnen mit Schwachstellenbericht zum Patchen

Sicherheitsbehörden aus den USA und Großbritannien warnen vor neuen Taktiken der SolarWinds-Angreifer, die nun auch Microsoft-Exchange-Lücken nutzten.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge

(Bild: Skorzewiak/Shutterstock.com)

Von
  • Stefan Krempl

Die Hackergruppen, die hinter den schweren Cyber-Attacken rund um Schwachstellen beim Softwareanbieter SolarWinds stehen, haben ihre Taktiken, Techniken und Verfahren ausgebaut und verfeinert. Sie nutzen nun etwa auch Sicherheitslücken in Microsofts Serversoftware Exchange, die zunächst mit anderen Angreifern in Verbindung gebracht wurden. Dies geht aus einem neuen Schwachstellenbericht hervor, den die drei US-Behörden FBI, NSA und CISA (Cybersecurity and Infrastructure Security Agency) zusammen mit dem britischen National Cyber Security Centre (NCSC) verfasst haben, das beim Geheimdienst GCHQ angesiedelt ist.

Die SolarWinds-Hacker verorteten US-Sicherheitsbehörden schon frühzeitig in Russland. In dem neuen Papier zeigen die Verfasser auf den russischen Auslandsnachrichtendienst SWR und ihm zugeschriebene Cyber-Akteure, die als APT29, Cozy Bear und die Dukes bekannt sind. Diese sollen unter anderem auch für IT-Angriffe mit Malware wie WellMess und WellMail auf Entwickler von Covid-19-Impfstoffen verantwortlich sein.

In dem Warnhinweis ist davon die Rede, dass die russischen Angreifer ihr Arsenal aufgestockt haben, um weiterhin – aufbauend auf den Schwachstellen im Fall SolarWinds & Co. – unentdeckt Netzwerke infiltrieren zu können. Die Hackergruppen haben demnach auf die Abwehrmaßnahmen reagiert, die viele Organisationen nach den bisherigen Warnungen der vergangenen Monate ergriffen haben.

Die Angreifer verwenden demnach mittlerweile das Open-Source-Werkzeug Sliver, um sich einen dauerhaften Zugang zu bereits kompromittierten Systemen und Netzwerken zu verschaffen. Sie könnten damit zahlreiche Schwachstellen ausnutzen, darunter auch die jüngsten Zero-Day-Exploits für Microsoft Exchange, bei denen Spuren nach China führen sollen.

Sliver ist eigentlich als Software für sogenannte Red Teams gedacht, mit denen diese in Absprache mit Diensteanbietern deren Netzwerksicherheit testen können. Sie soll hier nun missbraucht werden, um den Zugang zu Systemen zu festigen, die mit WellMess und WellMail kompromittiert wurden. Zum gleichen Zweck werde auch das kommerzielle Werkzeug Cobalt Strike in Stellung gebracht. Die Truppe hat laut dem Bericht auch Schadsoftware und Instrumente wie GoldFinder und GoldMax sowie die Download-App Sibot verwendet, nachdem sie Opfer über SolarWinds-Software gehackt hatte.

Die Angreifer sind laut den westlichen Sicherheitsbehörden bestrebt, eine Vielzahl von Exploits zu nutzen, sobald sie veröffentlicht werden. Die Autoren verweisen dabei dezidiert auf elf Sicherheitswarnungen, die sich auf Schwachstellen von CVE-2018-13379 FortiGate über CVE-2019-19781 Citrix bis hin zu CVE-2021-21972 VMWare vSphere beziehen.

In jüngster Zeit hätten die Akteure auch gezielt nach Exchange-Servern gesucht, die für die mit der Hafnium-Gruppe in Verbindung gebrachte Lücke CVE-2021-26855 und damit verbundene weitere Schwachstellen anfällig sind, heißt es weiter. Auf solche Aktivitäten folge in der Regel der Einsatz weiterer Exploits und im Erfolgsfall der Einbau einer Webshell für den Serverzugriff aus der Ferne. Die Angriffe auf Mailserver seien darauf ausgerichtet, sich Passwörter und Administratorrechte und die Möglichkeit zu verschaffen, weitere Netzwerkinformationen und -zugriffe zu erhalten.

Trotz der teils ausgefeilten Art der Attacken betonen die Verfasser, dass die Angreifer sich in Schach halten ließen, wenn Administratoren "grundlegende Cybersicherheitsprinzipien" befolgten. Dazu gehöre das schnelle Einspielen von Sicherheitsupdates, um zumindest bekannte Sicherheitslücken abzudichten. Der Leitfaden empfiehlt zudem, eine Multi-Faktor-Authentifizierung zu nutzen, um Passwortangriffen entgegenzuwirken.

Dem SWR bescheinigen die Kollegen aus den USA und Großbritannien, umfassende Fähigkeiten entwickelt zu haben, um Organisationen auf der ganzen Welt anzugreifen. Dazu gehörten insbesondere NATO-Mitgliedsstaaten und Nachbarländer Russlands. Der Geheimdienst setze "eine Vielzahl von Werkzeugen und Techniken ein, um vor allem Ziele in den Bereichen Regierung, Diplomatie, Denkfabriken, Gesundheitswesen und Energie weltweit ins Visier zu nehmen und nachrichtendienstliche Erkenntnisse zu gewinnen". US-Präsident Joe Biden hatte einen Monat zuvor als Reaktion auf die SolarWinds-Angriffe Sanktionen gegen Russland verhängt.

(tiw)