US-Ermittler: Massiver Hackerangriff geht weit über SolarWinds hinaus

Fast ein Drittel der Opfer der Attacke hat laut einer US-Behörde nicht die SolarWinds-Software genutzt, die bisher als Haupteinfallstor für die Angreifer galt.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 258 Beiträge

(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)

Von
  • Stefan Krempl

Der schwere Cyberangriff auf Regierungsinstitutionen und Unternehmen in den USA zieht immer weitere Kreise. Dortige Ermittler haben nach eigenen Angaben Belege dafür gefunden, dass die mutmaßliche Spionageoperation deutlich über die Kompromittierung des kleinen Softwareanbieters SolarWinds hinausging. Bisher galt dessen Netzwerkmanagement-Plattform Orion als Haupteinfallstor für die Hacker.

Rund 30 Prozent der Opfer der Attacke aus dem privaten Sektor und bei Behörden hätten keine direkte Verbindung zu SolarWinds, erklärte Brandon Wales, amtierender Direktor der Cybersecurity and Infrastructure Security Agency (CISA) gegenüber dem Wall Street Journal. Die Angreifer "verschafften sich auf unterschiedliche Weise Zugang" zu ihren Zielen. "Dieser Gegner war sehr kreativ", weiß der Beamte, dessen Behörde zum Department of Homeland Security gehört und die Abwehr- sowie Aufklärungsmaßnahmen in den USA koordiniert.

Die Operation sollte nicht länger als reiner SolarWinds-Vorfall angesehen werden, betonte Wales. Experten aus der Wirtschaft kommen dem Bericht zufolge zu demselben Schluss. Letzte Woche teilte etwa die ebenfalls betroffene IT-Sicherheitsfirma Malwarebytes mit, dass eine Reihe ihrer E-Mail-Konten in der Microsoft-Cloud Azure von denselben Angreifern kompromittiert worden seien. Diese seien aber über einen anderen Weg eingedrungen als im Fall SolarWinds.

Die neuen Erkenntnisse nähren laut der Zeitung die Befürchtung, dass Schwachstellen in Unternehmenssoftware ausgenutzt würden, die täglich Millionen Menschen verwendeten. Die Hacker seien offenbar in verschiedenste Systeme eingedrungen, indem sie sich mehr oder weniger bekannte Sicherheitslücken in Softwareprodukten zu eigen gemacht und Online-Passwörter erraten hätten. Den Angreifern sollen den Ermittlern zufolge auch Eigenheiten in der Art und Weise zugute gekommen sein, wie Microsoft cloudbasierte Software konfiguriere.

CISA warnte jüngst vor "andauernden Bedrohungen" im Cloud-Umfeld. Man habe beobachtet, dass ein einschlägiger Akteur bei einem Opfer kompromittierte Anwendungen in der Azure-Umgebung von Microsofts Büropaket 365 verwende und sich mit zusätzlichen Anmeldeinformationen und Programmierschnittstellen Zugang zu Cloud-Ressourcen von Organisationen des privaten und öffentlichen Sektors verschaffe. Die Cybersicherheitsbehörde veröffentlichte ein kostenloses Open-Source-Werkzeug, um "ungewöhnliche und potenziell bösartige Aktivitäten" in Azure erkennen zu können.

Microsoft hatte an Silvester eingeräumt, dass die Drahtzieher hinter den Vorfällen Zugriff auf eine "kleine Anzahl interner Konten" von Mitarbeitern im internen Firmennetzwerk gehabt hätten. Einen Account sollen die Hacker genutzt haben, um "Quelltext in einer Reihe" einschlägiger Verzeichnisse einzusehen. Das Konto sei aber nicht mit einer Berechtigung verknüpft gewesen, "Code oder technische Systeme zu ändern". Zu dem aktuellen Bericht äußerte sich das Sicherheitsteam des Softwarekonzerns bislang nicht.

Bekannt war bereits, dass die von US-Geheimdiensten in Russland verorteten Angreifer die Malware Sunburst einsetzten und diese mindestens seit dem Frühjahr über verseuchte Updates für Orion auf Systeme von bis zu 18.000 Kunden des Dienstleisters inklusive Microsoft schleusten. Darunter befanden sich zahlreiche Ministerien und Behörden. Der Schädling installierte eine Hintertür und leitete so die Übernahme infizierter Systeme aus der Ferne in die Wege.

Die bislang nicht identifizierte Gruppe hatte zuvor erfolgreich die IT-Sicherheitsfirma FireEye attackiert. Ende des Jahres meldete CrowdStrike, ebenfalls von den Angreifern ins Visier genommen worden zu sein – jedoch ohne dass diese dabei hätten punkten können. Dabei sollen die Hacker Microsoft-Reseller verwendet haben.

Im Lauf der Woche berichteten weitere Security-Unternehmen von ungewöhnlichen Angriffen, die sie inzwischen mit der ominösen Gruppe in Verbindung bringen. So teilte etwa der E-Mail-Sicherheitsanbieter Mimecast mit, dass Hacker eines seiner Programme gegen ihn verwendet hätten, um Microsoft 365-Konten von Kunden einzusehen. Fidelis Cybersecurity geht nach eigenen Angaben Hinweisen auf eine Online-Attacke nach. Qualys gestand eine solche ein, diese habe aber "keine Auswirkungen auf unsere Produktionsumgebung" gehabt. Daten seien nicht abgeflossen.

Palo Alto Networks reihte sich in den Reigen der betroffenen Cybersicherheitsfirmen ein, konnte die Attacke aber nach eigener Darstellung abwehren. Ryan Gillis, der bei der Firma für Strategie und globale Richtlinien verantwortlich ist, sprach gegenüber der Agentur Bloomberg von einem "noch andauernden, ausgefeilten Angriff". Organisationen riet er nachdrücklich, die Lieferketten ihrer IT-Infrastrukturen mit Fokus auf die Vorfälle zu überprüfen. Cybersecurity-Firmen stellen als Gatekeeper ein lohnendes Ziel dar, da sie Netzwerke Dritter bewachen sollen und zugleich oft Fernzugriff darauf haben.

Die US-Senatoren Ron Wyden und Cory Booker von den Demokraten sowie acht Mitglieder des Repräsentantenhauses forderten die NSA am Freitag auf, die eigenen Maßnahmen zum Schutz der Regierung vor Angriffen auf die Lieferketten wie beim SolarWinds-Hack zu erläutern. Vor fünf Jahren sei bekannt geworden, dass mit Juniper auch ein anderer Behördenausrüster versehentlich Software-Updates mit Schadcode ausgeliefert habe. Der Fall sei nie offiziell aufgeklärt worden.

Laut den Volksvertretern entdeckten Forscher später, "dass Juniper einen von der NSA entwickelten Verschlüsselungsalgorithmus verwendet hatte, von dem Experten schon lange behaupteten, er enthalte eine Hintertür". Der Schlüssel zu dieser Backdoor sei dann wohl modifiziert worden. Die US-Bürger hätten ein Recht darauf zu wissen, warum die NSA hier nicht im Sinne der Betroffenen gehandelt habe. Auch 15 deutsche Ministerien und Behörden nutzten laut der Bundesregierung Produkte von SolarWinds. Zumindest via Sunburst sollen aber keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung erfolgt sein.

(bme)