Solar Winds Hack: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Einleitung == Der SolarWinds-Hack, auch bekannt unter dem Codenamen "Sunburst", ist einer der bedeutendsten und komplexesten Cyberangriffe in der Geschichte…“)
 
 
Zeile 1: Zeile 1:
== Einleitung ==
+
=Grundsätzliches=
Der SolarWinds-Hack, auch bekannt unter dem Codenamen "Sunburst", ist einer der bedeutendsten und komplexesten Cyberangriffe in der Geschichte der Informationstechnologie. Er wurde Ende 2020 entdeckt und betraf die Orion-Softwareplattform von SolarWinds, ein weitverbreitetes Netzwerkmanagement-Tool. Dieser Angriff illustriert die Bedrohung durch staatlich unterstützte Hacker und die Anfälligkeit von Supply Chains in der Softwareentwicklung.
+
* Der SolarWinds-Hack war eine hochentwickelte '''Advanced Persistent Threat (APT)'''-Kampagne, die weltweit Tausende Organisationen betraf
 +
* Die Angreifer kompromittierten die Software-Lieferkette von SolarWinds, einem Anbieter für IT-Management-Software
 +
* Die Attacke wurde durch eine infizierte Version der Orion-Software verbreitet, die von Unternehmen und Regierungsbehörden genutzt wurde
 +
* Die Hintermänner gelten als staatlich unterstützte Hackergruppe, mutmaßlich aus Russland (APT29/Cozy Bear)
 +
* Der Angriff ermöglichte den Zugang zu Netzwerken zahlreicher US-Behörden, Unternehmen und kritischer Infrastrukturen
  
== Angriffsvektor ==
+
=Technische Details=
Die Hauptstrategie der Angreifer bestand darin, eine Supply-Chain-Attacke durchzuführen. Sie injizierten schädlichen Code in die Software-Entwicklungs- und Distributionsprozesse von SolarWinds. Dieser Code wurde Teil eines offiziellen Software-Updates für das Orion-Produkt, das zwischen März und Juni 2020 veröffentlicht wurde.
+
* Die Malware wurde als '''SUNBURST''' bezeichnet und in legitime Updates der SolarWinds Orion-Software eingebaut
 +
* Nach der Installation verhielt sich die Malware zunächst unauffällig, um nicht entdeckt zu werden
 +
* Sie kontaktierte eine '''Command-and-Control (C2)'''-Infrastruktur und ließ Angreifer schrittweise Zugriff auf infizierte Systeme gewinnen
 +
* Die Angreifer nutzten '''Golden SAML'''-Angriffe, um sich als vertrauenswürdige Benutzer auszugeben und Sicherheitsmechanismen zu umgehen
 +
* Es wurden zahlreiche '''Credential-Dumping'''-Techniken angewandt, um administrative Berechtigungen zu erlangen
 +
* Die Infektion breitete sich über seitliche Bewegungen in Netzwerken aus und ermöglichte langfristige Überwachung und Datendiebstahl
  
== Technische Details des Angriffs ==
+
= Timeline =
=== Einschleusung des Schadcodes ===
 
Die Angreifer nutzten einen kompromittierten Zugang zum Software-Build-Prozess von SolarWinds. Sie fügten den Schadcode in die Bibliotheken der Orion-Plattform ein, was als Trojanisierung des Build-Prozesses bekannt ist. Der Code wurde so konzipiert, dass er nach einer Ruhephase von zwei Wochen aktiv wurde, um eine frühzeitige Entdeckung zu vermeiden.
 
  
=== Verbreitung und Maskierung ===
+
== 2019 ==
Nach der Aktivierung des Schadcodes etablierte dieser eine Verbindung zu einem Command-and-Control-Server (C2), von dem aus die Angreifer Anweisungen senden konnten. Um nicht entdeckt zu werden, tarnten die Angreifer den Netzwerkverkehr als Orion-Verbesserungsprogrammdaten und nutzten weitere Techniken zur Verschleierung ihrer Aktivitäten.
+
* Die erste Infiltration von SolarWinds-Infrastruktur erfolgt
 +
* Angreifer platzieren Backdoors in Orion-Software-Updates
  
=== Datendiebstahl und Spionage ===
+
== 2020 ==
Einmal im Netzwerk, bewegten sich die Angreifer lateral, um weitere sensible Systeme zu infiltrieren. Sie sammelten Informationen, darunter E-Mails und Dokumente, und gewannen tiefe Einblicke in die internen Prozesse und Sicherheitsmaßnahmen der betroffenen Organisationen.
+
* Die infizierte Orion-Software wird über offizielle Updates an Kunden ausgeliefert
 +
* Mehr als 18.000 Organisationen installieren unbewusst die kompromittierte Version
 +
* Die Malware aktiviert sich und beginnt, Netzwerkzugriffe an die Angreifer zu übermitteln
 +
* Der Angriff wird im Dezember 2020 von [[FireEye]] entdeckt, nachdem eigene Systeme kompromittiert wurden
 +
* US-Regierungsbehörden bestätigen den großflächigen Einbruch in sicherheitskritische Netzwerke
  
== Aufdeckung und Reaktion ==
+
== 2021 ==
FireEye, ein Sicherheitsunternehmen, das selbst betroffen war, entdeckte den Angriff und machte ihn öffentlich. Dies führte zu einer intensiven Überprüfung und Analyse der Sicherheitsmaßnahmen in zahlreichen Organisationen weltweit. Als Reaktion auf den Angriff wurden umfangreiche Maßnahmen zur Stärkung der Cybersicherheit und zur Überwachung der Software-Entwicklungsketten eingeleitet.
+
* Nachforschungen zeigen, dass zahlreiche US-Behörden, Technologieunternehmen und kritische Infrastrukturen betroffen sind
 +
* SolarWinds und Sicherheitsforscher arbeiten an Patches und Schadensbegrenzung
 +
* US-Regierung verhängt Sanktionen gegen Russland als mutmaßlichen Angreifer
 +
 
 +
= Entdeckung und Analyse =
 +
* [[FireEye]] entdeckt den Angriff, als eigene Red-Team-Tools kompromittiert wurden
 +
* Eine forensische Untersuchung deckt die Manipulationen in der SolarWinds Orion-Software auf
 +
* Die Analyse zeigt, dass die Malware über lange Zeiträume unbemerkt aktiv war
 +
* Die kompromittierten Systeme ermöglichten tiefgehende Spionage und Datenexfiltration
 +
 
 +
= Schutzmaßnahmen =
 +
* Unternehmen und Behörden sollten verstärkte Sicherheitsprüfungen in der Software-Lieferkette durchführen
 +
* Zero-Trust-Modelle und segmentierte Netzwerke reduzieren das Risiko von lateralen Bewegungen
 +
* Implementierung von '''Multi-Factor Authentication (MFA)''' zur Absicherung gegen gestohlene Anmeldedaten
 +
* Überwachung von ungewöhnlichen Netzwerkaktivitäten und verdächtigen DNS-Anfragen
 +
* Regelmäßige Updates und Patches für Systeme sowie verstärkte Protokollierung von Zugriffsversuchen
 +
 
 +
= Links =
 +
* https://www.fireeye.com/blog/threat-research/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
 +
* https://www.cisa.gov/news-events/alerts/aa20-352a
 +
* https://www.microsoft.com/security/blog/2021/01/05/decoding-sunburst-understanding-techniques-used-by-unc2452/
 +
* https://www.solarwinds.com/securityadvisory

Aktuelle Version vom 9. März 2025, 06:18 Uhr

Grundsätzliches

  • Der SolarWinds-Hack war eine hochentwickelte Advanced Persistent Threat (APT)-Kampagne, die weltweit Tausende Organisationen betraf
  • Die Angreifer kompromittierten die Software-Lieferkette von SolarWinds, einem Anbieter für IT-Management-Software
  • Die Attacke wurde durch eine infizierte Version der Orion-Software verbreitet, die von Unternehmen und Regierungsbehörden genutzt wurde
  • Die Hintermänner gelten als staatlich unterstützte Hackergruppe, mutmaßlich aus Russland (APT29/Cozy Bear)
  • Der Angriff ermöglichte den Zugang zu Netzwerken zahlreicher US-Behörden, Unternehmen und kritischer Infrastrukturen

Technische Details

  • Die Malware wurde als SUNBURST bezeichnet und in legitime Updates der SolarWinds Orion-Software eingebaut
  • Nach der Installation verhielt sich die Malware zunächst unauffällig, um nicht entdeckt zu werden
  • Sie kontaktierte eine Command-and-Control (C2)-Infrastruktur und ließ Angreifer schrittweise Zugriff auf infizierte Systeme gewinnen
  • Die Angreifer nutzten Golden SAML-Angriffe, um sich als vertrauenswürdige Benutzer auszugeben und Sicherheitsmechanismen zu umgehen
  • Es wurden zahlreiche Credential-Dumping-Techniken angewandt, um administrative Berechtigungen zu erlangen
  • Die Infektion breitete sich über seitliche Bewegungen in Netzwerken aus und ermöglichte langfristige Überwachung und Datendiebstahl

Timeline

2019

  • Die erste Infiltration von SolarWinds-Infrastruktur erfolgt
  • Angreifer platzieren Backdoors in Orion-Software-Updates

2020

  • Die infizierte Orion-Software wird über offizielle Updates an Kunden ausgeliefert
  • Mehr als 18.000 Organisationen installieren unbewusst die kompromittierte Version
  • Die Malware aktiviert sich und beginnt, Netzwerkzugriffe an die Angreifer zu übermitteln
  • Der Angriff wird im Dezember 2020 von FireEye entdeckt, nachdem eigene Systeme kompromittiert wurden
  • US-Regierungsbehörden bestätigen den großflächigen Einbruch in sicherheitskritische Netzwerke

2021

  • Nachforschungen zeigen, dass zahlreiche US-Behörden, Technologieunternehmen und kritische Infrastrukturen betroffen sind
  • SolarWinds und Sicherheitsforscher arbeiten an Patches und Schadensbegrenzung
  • US-Regierung verhängt Sanktionen gegen Russland als mutmaßlichen Angreifer

Entdeckung und Analyse

  • FireEye entdeckt den Angriff, als eigene Red-Team-Tools kompromittiert wurden
  • Eine forensische Untersuchung deckt die Manipulationen in der SolarWinds Orion-Software auf
  • Die Analyse zeigt, dass die Malware über lange Zeiträume unbemerkt aktiv war
  • Die kompromittierten Systeme ermöglichten tiefgehende Spionage und Datenexfiltration

Schutzmaßnahmen

  • Unternehmen und Behörden sollten verstärkte Sicherheitsprüfungen in der Software-Lieferkette durchführen
  • Zero-Trust-Modelle und segmentierte Netzwerke reduzieren das Risiko von lateralen Bewegungen
  • Implementierung von Multi-Factor Authentication (MFA) zur Absicherung gegen gestohlene Anmeldedaten
  • Überwachung von ungewöhnlichen Netzwerkaktivitäten und verdächtigen DNS-Anfragen
  • Regelmäßige Updates und Patches für Systeme sowie verstärkte Protokollierung von Zugriffsversuchen

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Solar_Winds_Hack&oldid=59482