Grundsätzliches

• Der SolarWinds-Hack war eine hochentwickelte Advanced Persistent Threat (APT)-Kampagne, die weltweit Tausende Organisationen betraf
• Die Angreifer kompromittierten die Software-Lieferkette von SolarWinds, einem Anbieter für IT-Management-Software
• Die Attacke wurde durch eine infizierte Version der Orion-Software verbreitet, die von Unternehmen und Regierungsbehörden genutzt wurde
• Die Hintermänner gelten als staatlich unterstützte Hackergruppe, mutmaßlich aus Russland (APT29/Cozy Bear)
• Der Angriff ermöglichte den Zugang zu Netzwerken zahlreicher US-Behörden, Unternehmen und kritischer Infrastrukturen

Technische Details

• Die Malware wurde als SUNBURST bezeichnet und in legitime Updates der SolarWinds Orion-Software eingebaut
• Nach der Installation verhielt sich die Malware zunächst unauffällig, um nicht entdeckt zu werden
• Sie kontaktierte eine Command-and-Control (C2)-Infrastruktur und ließ Angreifer schrittweise Zugriff auf infizierte Systeme gewinnen
• Die Angreifer nutzten Golden SAML-Angriffe, um sich als vertrauenswürdige Benutzer auszugeben und Sicherheitsmechanismen zu umgehen
• Es wurden zahlreiche Credential-Dumping-Techniken angewandt, um administrative Berechtigungen zu erlangen
• Die Infektion breitete sich über seitliche Bewegungen in Netzwerken aus und ermöglichte langfristige Überwachung und Datendiebstahl

Timeline

2019

• Die erste Infiltration von SolarWinds-Infrastruktur erfolgt
• Angreifer platzieren Backdoors in Orion-Software-Updates

2020

• Die infizierte Orion-Software wird über offizielle Updates an Kunden ausgeliefert
• Mehr als 18.000 Organisationen installieren unbewusst die kompromittierte Version
• Die Malware aktiviert sich und beginnt, Netzwerkzugriffe an die Angreifer zu übermitteln
• Der Angriff wird im Dezember 2020 von FireEye entdeckt, nachdem eigene Systeme kompromittiert wurden
• US-Regierungsbehörden bestätigen den großflächigen Einbruch in sicherheitskritische Netzwerke

2021

• Nachforschungen zeigen, dass zahlreiche US-Behörden, Technologieunternehmen und kritische Infrastrukturen betroffen sind
• SolarWinds und Sicherheitsforscher arbeiten an Patches und Schadensbegrenzung
• US-Regierung verhängt Sanktionen gegen Russland als mutmaßlichen Angreifer

Entdeckung und Analyse

• FireEye entdeckt den Angriff, als eigene Red-Team-Tools kompromittiert wurden
• Eine forensische Untersuchung deckt die Manipulationen in der SolarWinds Orion-Software auf
• Die Analyse zeigt, dass die Malware über lange Zeiträume unbemerkt aktiv war
• Die kompromittierten Systeme ermöglichten tiefgehende Spionage und Datenexfiltration

Schutzmaßnahmen

• Unternehmen und Behörden sollten verstärkte Sicherheitsprüfungen in der Software-Lieferkette durchführen
• Zero-Trust-Modelle und segmentierte Netzwerke reduzieren das Risiko von lateralen Bewegungen
• Implementierung von Multi-Factor Authentication (MFA) zur Absicherung gegen gestohlene Anmeldedaten
• Überwachung von ungewöhnlichen Netzwerkaktivitäten und verdächtigen DNS-Anfragen
• Regelmäßige Updates und Patches für Systeme sowie verstärkte Protokollierung von Zugriffsversuchen

Links

• https://www.fireeye.com/blog/threat-research/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
• https://www.cisa.gov/news-events/alerts/aa20-352a
• https://www.microsoft.com/security/blog/2021/01/05/decoding-sunburst-understanding-techniques-used-by-unc2452/
• https://www.solarwinds.com/securityadvisory