Anzeige

Hacker

Erkannt wurde der Angriff zuerst durch das betroffene IT-Sicherheitsunternehmen FireEye [2] um den 8. Dezember 2020; FireEye warnte  vor dem Einsatz seiner eigenen Sicherheitsprodukte, bestritt aber, dass gespeicherte, unveröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) ausgelesen worden seien.

Die Täter hatten dazu ein Update der Netzwerküberwachungs-Plattform Orion der Fa. SolarWinds so manipuliert, dass eine backdoor (derzeit sind bereits zwei veröffentlicht) in den ca. 18.000 der etwa 300.000 Kundensysteme installiert wurde (supply chain attack). Kunden sind der öffentliche Sektor der USA, Großbritanniens sowie die weltweit größten Unternehmen aller Branchen (Verteidigungsunternehmen, Technologieunternehmen, Banken, Beratungs-, Pharma/Chemie, Telekommunikations- und Rohstoffunternehmen) in Nordamerika, Europa, Asien, im Nahen Osten und auch in Deutschland. [3]

Angesichts der immensen Angriffsfolgen (Kopieren von Daten und Programmen und Manipulation von Programmen) dürfte der Angriff weiterhin detailliert untersucht [4] – und auch nachgeahmt und Angriffsdokumentationen (trotz eines zu erwartenden sehr hohen Preises) wie geschnitten Brot an Kriminelle und interessierte Sicherheitsbehörden verkauft werden. Unternehmen und Behörden sollten sich also durch vorbeugende Maßnahmen darauf einstellen. Die Eintrittswahrscheinlichkeit wird international als sehr hoch bewertet.

Die Systeme der US-Bundesbehörden wurden bei dem Angriff ebenfalls kompromittiert; dazu veröffentlichte die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallrichtlinie, in der alle Bundesbehörden angewiesen wurden, die betroffenen Orion-Produkte sofort abzuschalten. 

Der Cyber-Angriff von SolarWinds ist kein Einzelfall. Microsoft [5] allein hat in den letzten zwei Jahren über 13.000 Warnungen an Kunden versandt. Ziel der Installation von backdoor ist, global bei Kunden dieses Herstellers Systeme fremdzusteuern. Derzeit scheint es den Tätern nur teilweise um den finanziellen Erfolg (Erpressung) zu gehen. Dies gilt auch für Angriffe in der Gesundheitsbranche; sie richten sich derzeit (noch?) nicht gezielt gegen einzelne Patienten.

Die von Tätern genutzten Verfahren liegen durchweg auf sehr hohem technischem Niveau und zeigen die jahrelange Erfahrung. Solche Fachleute finden sich nicht nur in allen Industriestaaten, sondern auch in sog. Entwicklungsländern. Solche Angriffstechniken werden allerdings nicht an öffentlichen Hochschulen erforscht und gelehrt. Erste kriminelle Versuche gehen in Deutschland zurück auf den Beginn der 70er Jahre.

Zusammenfassung und Ideen

  • Angriffe auf IT-Systeme werden zunehmend von darauf spezialisierten Unternehmen durchgeführt.

§  Durch die Eskalierung auf die vielen Opfer eines Angriffs (hier ca. 18.000) sinkt der Aufwand für die Angriffsvorbereitung auf etwa 500 K$ bei einem zu erwartenden Erlös von aktuell 500 – 10.000 K$… jeweils pro Opfer. Eine Vorfinanzierung ist durch die Organisierte Kriminalität oder Nachrichtendienste möglich. Weitere derartig technisch gut ausgearbeitete Angriffe können also erwartet werden.

§  Die Angreifer haben den Angriff über ca. 3 Jahre geplant und umgesetzt. Allein zwischen dem ersten unberechtigten Zugriff bis zum Ausspionieren von Daten und Programmen vergehen etwa 6 – 18 Monate; darauf wurde schon früher durch Untersuchungen (auch im deutschen Sprachraum) hingewiesen.

§  Eine Illusion ist die häufig anzutreffende Meinung, wenn die IT-Produktion erst wieder laufe, sei der Angriff abgewehrt. Wiederanlauf ist jedenfalls kein Zeichen abgewehrter Angriffe. Sofern nicht mindestens die ausgenutzten Angriffspunkte wie unerkannte Sicherheitslücken (Zero-Day-Vulnerabilities), backdoors, covert channels o.ä. ausgemerzt sind, muss mit erneuten Angriffen gerechnet werden. Dies ist wahrscheinlich angesichts der Marktmacht (technische Fähigkeiten, Stammpersonal) der kommerziellen Hacking Unternehmen. Die Ohnmacht vor den Hacking-Unternehmen zeigt auch die Hilflosigkeit der betroffenen US-Regierungsbehörden.

§  Grundsätzlich werden nur Unternehmen angegriffen, deren finanzielle Bonität von den Tätern als hinreichend gut bewertet war. Die Täter griffen (bei passender Gelegenheit) wiederholt an.

1.   Aktuelle Situation im Internet

Politikern und auch Entscheidern fehlt weitgehend das Verständnis für die Risiken von Angriffe auf die (eigene) IT. Dementsprechend wird der IT-Leiter befragt, ob denn alles sicher sei. Daher wird auch gar nicht ein unabhängiger Rat von ‚draußen‘ eingeholt. Zumal die Angreifer meist sehr vorsichtig vorgehen, um den Angriff bis zu mehreren Jahren gegenüber dem Opfer zu verbergen.

2.   Täter

Natürlich waren es die Russen (weiß Pompeo); aber es waren die Chinesen (schätzt Trump), Viel spricht für Korea - aber nur weil ein koreanisches Wort im Quelltext ‚gefunden‘ wurde (vielleicht eher Nordkorea)? Wenn einem gar nichts mehr einfällt, waren die Hacker wenigstens ‚staatsnah‘ Dies alles ist nichts weiter als die übliche politische Propaganda der Politiker (vgl. die ‚Schurkenstaaten‘), die technisch nur äußerst aufwändig abgeklärt werden kann.

Grundsätzlich erscheint eine Tätertypisierung nach Skript-Kiddies, Freaks, Hacker, Cracker etc. veraltet. Die vielfältigen und komplexen Angriffsmöglichkeiten erfordern Kompetenzen und Personal in allen Bereichen der Cybersicherheit, die von einzelnen Unternehmen, kommunalen Verwaltungen oder Privatpersonen nicht geleistet werden können. [6]

In den letzten 5 Jahren haben sich international Unternehmen entwickelt, die nach dem Motto ‚Crime as a Service (CaaS) [7] weltweit entwickelte neue Angriffsverfahren gegen Entgelt für Auftraggeber durchführen – im Ransomware-Bereich z.B. gegen eine Beteiligung von 30% des erzielten Umsatzes.

Eine Unterscheidung zwischen Tätergruppe [8] wie Skript Kiddies, Insidern, Hackern, Hacktivisten, Cybercriminals, staatlich gesponserten Gruppen, ‚Geheimdiensten‘ (staatliche Institutionen wie Sicherheitsbehörden) gehören der Vergangenheit an: Zunehmend werden die Hacking-Gruppen kommerzialisiert – d.h. die Angriffe werden von spezialisierten Unternehmen in Auftrag gegen ein festes Entgelt oder eine Umsatzbeteiligung von z.B. 30% (Ransomware) durchgeführt. Eine Unternehmensstruktur mit sehr kleinen Abteilungen wie Personal, Marketing, Accounting und Produktion etc. ist vorhanden. So wird sorgfältig analysiert, ob und wie das als Opfer vorgesehene Unternehmen tatsächlich im gewünschten Umfang liquide ist (Gewinnorientierung). Die Personalstärke von Angriffsunternehmen beträgt bis zu 20 Mitarbeiter – mit bis zu 15 IT-Spezialisten; für spezielle Aufgaben werden free-lancer hinzugezogen.

3.   Betroffene

Geoutet haben sich oder veröffentlicht wurden viele Bundesministerien der USA sowie Unternehmen. Das BSI hat betroffene deutsche Unternehmen informiert. Tatsächlich sind wohl 18 – 35 Tausend Kunden [9] von SolarWinds betroffen bei weltweit insgesamt mehr als 300.000.

4.   Angriffsziele

Diffus sind die Berichte über erreichte Angriffsziele. Abgesehen von Marketingaussagen muss daher davon ausgegangen werden, dass wertvolle Unternehmensdaten ausspioniert wurden (Security-Tools, Exploits, medizinische Geräte) und auch Manipulationen an Steuerdaten von Produktionsprozessen (IoT) zur Impfstoffherstellung [11] und zur Herstellung von Chemikalien und Medikamenten vorgenommen wurde: Sabotage. Eine Nutzung für terroristische Ziele ist nicht auszuschließen – allerdings bisher nicht nachgewiesen. Eins der Ziele dürften Daten in (privaten und öffentlichen) Clouds sein (z.B. Microsoft Office 365-Konten).

Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter
Prof. Dr. Hartmut Pohl
Geschäftsführender Gesellschafter, softScheck GmbH
Prof. Dr. Hartmut Pohl ist als geschäftsführender Gesellschafter der IT-Sicherheitsberatung zuständig für taktische und strategische Sicherheitsberatung u. a. basierend auf BSI-Grundschutz, ISO 27000-Familie, COBIT, NIST SP 800, ITIL etc. inkl. Forensik bei der softScheck GmbH in Köln/Sankt Augustin.

Artikel zu diesem Thema

Hacker
Jan 02, 2021

Cybersecurity-Prognosen 2021: Die neuen Angriffsziele der Hacker

Der Digitalisierungsschub in Deutschland ermöglicht Cyberkriminellen auch im kommenden…
russische Hackergruppe
Dez 21, 2020

SolarWinds-Software Orion durch verseuchte Updates kompromittiert

Kürzlich wurde bekannt, dass mehrere US-Behörden und die IT-Sicherheitsfirma FireEye…

Weitere Artikel

Cybercrime

Cyberangriff auf die Rüstungsindustrie

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre…
Malware

UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen

Mit dem Schadprogramm Lojax war das Unified Extensible Firmware Interface (UEFI) im Herbst 2018 in aller Munde. ESET Forscher hatten herausgefunden, dass Hacker mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltrieren und über diesen Weg die…
Cyber Security

Cyberangriffen vorbeugen und Schwachstellen erkennen

Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst. Wenn es jedoch an kritischer Transparenz an den Endpunkten mangelt, haben Cyberkriminelle leichtes Spiel.
Hackerangriff

Kritische und industrielle Infrastrukturen: Cyber-Risiken auf Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt auf, dass die Cyberbedrohungen in der ersten Hälfte des Jahres 2021 mit alarmierender Geschwindigkeit zugenommen haben. Die Angriffe werden großenteils durch die neuen Ransomware-as-a-Service…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.