Gastartikel :Der Patch ist der Angriff - Nordhessen-Journal

Die Seite wird erstellt Michael Lorenz
 
WEITER LESEN
Gastartikel :Der Patch ist der Angriff - Nordhessen-Journal
Gastartikel :Der Patch ist
der Angriff

Eine aktuelle Bewertung des SolarWinds-Hack

von Prof.Dr. Hartmut Pohl1

Erkannt wurde der
Angriff zuerst durch
das betroffene IT-
Sicherheitsunternehme
n FireEye2 um den 8.
Dezember        2020;
FireEye warnte vor
dem Einsatz seiner
eigenen
Sicherheitsprodukte,
bestritt aber, dass
gespeicherte, unveröffentlichte Sicherheitslücken (Zero-Day-
Vulnerabilities) ausgelesen worden seien. Die Täter hatten
dazu ein Update der Netzwerküberwachungsplattform Orion der
Fa. SolarWinds so manipuliert, dass eine backdoor (derzeit
sind bereits zwei veröffentlicht) in den ca. 18.000 der etwa
300.000 Kundensysteme installiert wurde (supply chain attack).
Kunden sind der öffentliche Sektor der USA, Großbritanniens
sowie die weltweit größten Unternehmen aller Branchen
(Verteidigungsunternehmen, Technologieunternehmen, Banken,
Beratungs-,    Pharma/Chemie,     Telekommunikations-      und
Rohstoffunternehmen) in Nordamerika, Europa, Asien, im Nahen
Osten und auch in Deutschland.3 Angesichts der immensen
Angriffsfolgen (Kopieren von Daten und Programmen und
Manipulation von Programmen) dürfte der Angriff weiterhin
detailliert untersucht4 – und auch nachgeahmt und
Angriffsdokumentationen (trotz eines zu erwartenden sehr hohen
Preises) wie geschnitten Brot an Kriminelle und interessierte
Sicherheitsbehörden verkauft werden. Unternehmen und Be-hörden
sollten sich also durch vorbeugende Maßnahmen darauf
einstellen. Die Eintrittswahrscheinlichkeit wird international
als sehr hoch bewertet.

Die Systeme der US-Bundesbehörden wurden bei dem Angriff
ebenfalls kompromittiert; dazu veröffentlichte die US-
amerikanische    Behörde    für   Cybersicherheit    und
Infrastruktursicherheit (CISA) eine Notfallrichtlinie, in der
alle Bundesbehörden angewiesen wurden, die betroffenen Orion-
Produkte sofort abzuschalten.
Der Cyber-Angriff von SolarWinds       ist   kein   Einzelfall.
Microsoft5 allein hat in den letzten zwei Jahren über 13.000
Warnungen an Kunden versandt. wurde. Ziel der Installation von
backdoor ist, global bei Kunden dieses Herstellers Systeme
fremdzusteuern. Der-zeit scheint es den Tätern nur teilweise
um den finanziellen Erfolg (Erpressung) zu gehen. Dies gilt
auch für Angriffe in der Ge-sundheitsbranche; sie richten sich
derzeit (noch?) nicht gezielt gegen einzelne Patienten.

Die von Tätern genutzten Verfahren liegen durchweg auf sehr
hohem technischem Niveau und zeigen die jahrelange Erfah-rung.
Solche Fachleute finden sich nicht nur in allen
Industriestaaten, sondern auch in sog. Entwicklungsländern.
Solche Angriffs-techniken werden allerdings nicht an
öffentlichen Hochschulen erforscht und gelehrt. Erste
kriminelle Versuche gehen in Deutsch-land zurück auf den
Beginn der 70er Jahre.

Zusammenfassung und Ideen
Angriffe auf IT-Systeme werden zunehmend von darauf
     spezialisierten Unternehmen durchgeführt.
     Durch die Eskalierung auf die vielen Opfer eines
     Angriffs (hier ca. 18.000) sinkt der Aufwand für die
     Angriffs-vorbereitung auf etwa 500 K$ bei einem zu
     erwartenden Erlös von aktuell 500 – 10.000 K$… jeweils
     pro Op-fer. Eine Vorfinanzierung ist durch die
     Organisierte Kriminalität oder Nachrichtendienste
     möglich. Weitere der-artig technisch gut ausgearbeitete
     Angriffe können also erwartet werden.
     Die Angreifer haben den Angriff über ca. 3 Jahre geplant
     und umgesetzt. Allein zwischen dem ersten unbe-
     rechtigten Zugriff bis zum Ausspionieren von Daten und
     Programmen vergehen etwa 6 – 18 Monate; darauf wurde
     schon früher durch Untersuchungen (auch im deutschen
     Sprachraum) hingewiesen.
     Eine Illusion ist die häufig anzutreffende Meinung, wenn
     die IT-Produktion erst wieder laufe, sei der Angriff
     abgewehrt. Wiederanlauf ist jedenfalls kein Zeichen
     abgewehrter Angriffe. Sofern nicht mindestens die ausge-
     nutzten Angriffspunkte wie unerkannte Sicherheitslücken
     (Zero-Day-Vulnerabilities), backdoors, covert chan-nels
     o.ä. ausgemerzt sind, muss mit erneuten Angriffen
     gerechnet werden. Dies ist wahrscheinlich angesichts der
     Marktmacht (technische Fähigkeiten, Stammpersonal) der
     kommerziellen Hacking Unternehmen. Die Ohn-macht vor den
     Hacking-Unternehmen zeigt auch die Hilflosigkeit der
     betroffenen US-Regierungsbehörden.
     Grundsätzlich werden nur Unternehmen angegriffen, deren
     finanzielle Bonität von den Tätern als hinreichend gut
     bewertet war. Die Täter griffen (bei passender
     Gelegenheit) wiederholt an.

1. Aktuelle Situation im Internet
Politikern und auch Entscheidern     fehlt   weitgehend   das
Verständnis für die Risiken von Angriffe auf die (eigene) IT.
Dementsprechend wird der IT-Leiter befragt, ob denn alles
sicher sei. Daher wird auch gar nicht ein unabhän-giger Rat
von ‚draußen‘ eingeholt. Zumal die Angreifer meist sehr
vorsichtig vorgehen, um den Angriff bis zu mehreren Jahren
gegenüber dem Opfer zu verbergen.

2. Täter

Natürlich waren es die Russen (weiß Pompeo); aber es waren die
Chinesen (schätzt Trump), Viel spricht für Korea – aber nur
weil ein koreanisches Wort im Quelltext ‚gefunden‘ wurde
(vielleicht eher Nordkorea)? Wenn einem gar nichts mehr
einfällt, waren die Hacker wenigstens ‚staatsnah‘ Dies alles
ist nichts weiter als die übliche politi-sche Propaganda der
Politiker (vgl. die ‚Schurkenstaaten‘), die technisch nur
äußerst aufwändig abgeklärt werden kann.
Grundsätzlich erscheint eine Tätertypisierung nach Skript-
Kiddies, Freaks, Hacker, Cracker etc. veraltet. Die viel-
fältigen und komplexen Angriffsmöglichkeiten erfordern
Kompetenzen und Personal in allen Bereichen der Cyber-
sicherheit, die von einzelnen Unternehmen, kommunalen
Verwaltungen oder Privatpersonen nicht geleistet wer-den
können6.
In den letzten 5 Jahren haben sich international Unternehmen
entwickelt, die nach dem Motto ‚Crime as a Ser-vice (CaaS)7
weltweit entwickelte neue Angriffsverfahren gegen Entgelt für
Auftraggeber durchführen – im Ransomware-Bereich z.B. gegen
eine Beteiligung von 30% des erzielten Umsatzes.
Eine Unterscheidung zwischen Tätergruppen8 wie Skript Kiddies,
Insidern, Hackern, Hacktivisten, Cybercriminals, staatlich
gesponserten     Gruppen,    ‚Geheimdiensten‘    (staatliche
Institutionen wie Sicherheitsbehörden) gehören der
Vergangenheit an: Zunehmend werden die Hacking-Gruppen
kommerzialisiert – d.h. die Angriffe werden von
spezialisierten Unternehmen in Auftrag gegen ein festes
Entgelt oder eine Umsatzbeteiligung von z.B. 30% (Ransomware)
durchgeführt. Eine Unternehmensstruktur mit sehr kleinen
Abteilungen wie Personal, Marketing, Accounting und Produktion
etc. ist vorhanden. So wird sorgfältig analysiert, ob und wie
das als Opfer vorgese-hene Unternehmen tatsächlich im
gewünschten Umfang liquide ist (Gewinnorientierung). Die
Personalstärke von Angriffsunternehmen beträgt bis zu 20
Mitarbeiter – mit bis zu 15 IT-Spezialisten; für spezielle
Aufgaben werden free-lancer hinzugezogen.

3. Betroffene
Geoutet haben sich oder veröffentlicht wurden viele
Bundesministerien der USA sowie Unternehmen. Das BSI hat
betroffene deutsche Unternehmen informiert. Tatsächlich sind
wohl 18 – 35 Tausend Kunden9 von SolarWinds betroffen bei
weltweit insgesamt mehr als 300.000.

4. Angriffsziele

Diffus sind die Berichte über erreichte Angriffsziele.
Abgesehen von Marketingaussagen muss daher davon ausgegangen
werden, dass wertvolle Unternehmensdaten ausspioniert wurden
(Security-Tools, Exploits, medizinische Geräte) und auch
Manipulationen an Steuerdaten von Produktionsprozessen (IoT10)
zur Impfstoffherstellung11 und zur Herstellung von Chemikalien
und Medikamenten vorgenommen wurde: Sabotage. Eine Nutzung für
ter-roristische Ziele ist nicht auszuschließen – allerdings
bisher nicht nachgewiesen. Eins der Ziele dürften Daten in
(privaten und öffentlichen) Clouds sein (z.B. Microsoft Office
365-Konten).

5. Angriffsablauf
Insgesamt scheint dieser Hack eine vergleichbar technische
Bedeutung zu haben wie der ja heute noch andauernde (!) Hack
auf den Deutschen Bundestag12, Stuxnet13 oder NSA14. Diese
Angriffe zusammen zeigen verwendeten Techniken den Stand der
weltweiten Angriffstechnik auf; hier wird nur auf den
Solarwinds-Hack Bezug genommen: A. Die ersten Hinweise15 auf
unberechtigte Manipulation von Orion-Updates stammen von
Oktober 2019 – also ca. 14 Monate vor der Angriffserkennung.
B. Die ausgenutzten Angriffspunkte der SolarWinds-Systeme sind
bisher unveröffentlicht oder sogar noch nicht identifiziert.
Einzig    mögliche    Angriffspunkte     sind   ungepatchte,
unveröffentlichte      oder   sogar   nicht    erkannte    Si-
cherheitslücken. Erfahrungsgemäß werden dazu unveröffentlichte
(Zero-Day-Vulnerabilities) – zumindest So-larWinds nicht
bekannte oder jedenfalls nicht gepatchte Sicherheitslücken –
ausgenutzt (Initialisierung des Angriffs: März bis Juni 2020).
Solange dieser Einstieg nicht identifiziert und gepatcht ist,
können die folgenden Schritte von den Angreifern beliebig
wiederholt werden. C. Die Angreifer machen sich dieser
Sicherheitslücke unabhängig, indem sie (mindestens) eine
backdoor im So-larWinds-System installieren Eine solche
backdoor ist von SolarWinds nicht veröffentlicht oder nicht
identifi-ziert. D. Um das manipulierte Update authentisch
erscheinen zu lassen wird das Update korrekt digital
signiert16. Die Code-Signierung ist eine der wichtigsten
Sicherheitsmaßnahmen global agierender Softwareunternehmen.
Kann die Signatur gefälscht werden, ist überhaupt jedem
Missbrauch von Authentifizierung und Integritätsprü-fung Tür
und Tor geöffnet. E. Im Quellcode des Updates wird der
bösartige Code verschleiert (obfuscation, steganography); im
Betrieb wird die Laufzeit-Umgebung geprüft, ob sie ein
Unternehmensnetzwerk ist oder etwa die Workstation eines
Analys-ten. F. Mit einem mit fast 4.000 Codezeilen17
manipulierten Update für die SolarWinds Orion Business
Software wurde erstmal eine backdoor18 im Kundensystem (Orion
Monitoring Software) installiert. Solange eine back-door nicht
identifiziert und geschlossen ist, können auch die folgenden
Angriffsschritte beliebig wiederholt werden.19 Dies gilt
sinngemäß für die zwischenzeitlich zweite veröffentlichte
backdoor20 sowie eventuelle weitere. Weitere backdoors sind
realistisch. Solange nicht alle backdoors identifiziert und
gepatcht sind, muss also mit weiteren gleichartigen Angriffen
gerechnet werden. G. Durch die backdoor wird weiterer – ggf.
auch aktualisierter – Code von einem Command&Control-Server
ein-geschleust oder generell eine (auch ständige) Verbindung
zwischen Angreifern und Zielsystem aufgebaut werden. So werden
Dateien übertragen, ausgeführt, das System parametrisiert
Systemdienste aktiviert und deak-tiviert und Computer
neugestartet. Das Protokoll ähnelt dem SolarWinds-Protokoll.
Zweckmäßigerweise wird die backdoor in einem der im Zielsystem
installierten Solarwinds-Modulen eingebaut. Kennen die
Angreifer weitere Software (wie Standardsoftware von
Herstellern wie Microsoft) im Zielsystem, kann die backdoor
auch dort eingebaut werden. Ein Angriff dauert solange wie die
backdoor ausgenutzt wer-den kann. D.h. Dreh- und Angelpunkt
ist die eingebaute backdoor. Angreifer bauen aus Resilienz-
Gründen mehrere backdoors ein; nach Identifizierung einer
(ersten) backdoor glaubt das Opfer häufig, der Angriff sei
abgewehrt und damit beendet. Im Einzelfall wird sogar nach
einem ‚Beweis‘ gefragt, warum noch nach weite-ren backdoors
gesucht werde. H. Natürlich sind weitere Schritte durch die
Angreifer möglich wie Kopieren und Löschen von (allen) Daten
des Angriffsopfers und Verschlüsseln (Ransomware). Kopieren
von Sicherheitsinformationen ist insbesondere rele-vant, wenn
unveröffentlichte Sicherheitslücken gesammelt werden – z.B.
für Zwecke der Strafverfolgungsbe-hörden. Bereits vor
Abschluss der Untersuchungen wurde ein solcher Diebstahl von
FireEye bestritten. I. Nachdem dieser Angriff aufgeflogen ist,
vom Hersteller die backdoor identifiziert und mit einem
(signierten Patch) geschlossen wurde, kann man davon ausgehen,
dass die Angreifer die (geschlossene) backdoor nicht mehr
nutzen. Über die Nutzung weiterer backdoors kann nur
spekuliert werden. J. Zwischen Installation der backdoors und
Ausnutzung liegt häufig mehr als ein halbes Jahr – der
Zeitraum kann auch bis zu 18 Monate dauern. Entscheidend für
diese Dauer ist, dass sich die Angreifer sicher sein wollen,
dass das Opfer nichts von Ihrem Angriff bemerkt. Grundsätzlich
kann nicht nachgewiesen werden, dass ein System backdoor-frei
ist. Das bedeutet für die er-wähnten Hackingfälle wie NSA,
Bundestag ein Beweis nicht erbracht werden kann. Und es
bedeutet auch nicht, dass die Fälle tatsächlich abgeschlossen
sind. Allerdings werden sich die Angreifer sehr vorsichtig
bewe-gen, um keinen Hinweis auf ihre Aktivitäten zu geben.

6. Schäden und Schadenshöhe

Es kann wegen des Personen-Jahre dauernden Aufwands keine
seriöse Schadensbewertung vorgenommen werden. Die offiziellen
Abschätzungen dürften geheim bleiben.
Die Angreifer verwendeten auch neuartigen Schadcode, der im
milliardenschweren Intrusion Detection System

7. Schutzmaßnahmen nach Angriffserkennung
Der Hersteller empfiehlt, zeitnah auf die jüngste Orion
Platform Version 2020.2.1 HF 1 upzudaten, um die Sicher-heit
der Umgebung zu gewährleisten. Ob ein einfaches Update der
Orion Plattform reicht, um eine Infektion zu beseitigen, darf
aber angesichts der komplexen Sachverhalte bezweifelt werden.
Wer die kompromittierten Soft-ware-Builds im Einsatz hatte,
kommt um eine Überprüfung und forensische Analyse der
betroffenen Systeme nicht herum. Dazu liegen die Signaturen
der beiden veröffentlichten backdoors vor.
Die Identifizierung von backdoors ist leicht, wenn sie wie in
diesem Fall zumindest teilweise bekannt sind. Auf-wändiger ist
die Identifizierung möglichst aller – insbesondere der bisher
nicht erkannten bzw. unveröffentlichten backdoors. Letzteres
erfordert eine ausgefeilte Methodik. Leichter lassen sich
Backdoors identifizieren, die doku-mentierte Eingabe- oder
Ausgabeschnittstellen missbrauchen.
Der Umfang der Wiederherstellungsmaßnahmen ist abhängig vom
Wert der verarbeiteten Daten und gesteuerten Prozesse
(Risikoanalyse) und reicht vom einfachen Update der Orion
Software bis zur sofortigen Trennung vom Internet,
Installation neuer Geräte und Software sowie einer Überprüfung
aller gespeicherten Daten; Angriffssoft-ware kann schließlich
überall gespeichert sein – in (Standard-)Software, in Firmware
und Microcode von Geräten und Steuerungen und auch in Daten.
Erst nach einer erneuten Überprüfung kann dann das System
wieder in Be-trieb genommen werden.
Allein den Wiederanlauf anzustreben ohne weitere Aktivitäten
kann fahrlässig sein. Gegen diesen speziellen An-griff können
auch Anti-Virenprogramme und das Einspielen der jüngsten
Updates ö.ä.22 helfen. Modifikationen des Angriffs dürften mit
diesen Maßnahmen allerdings nicht erkannt werden. Betroffene
sollten sorgfältig abwä-gen, ob der erfolgreiche Angriff
veröffentlicht werden sollte.

8. Vorbeugende Maßnahmen
Kommerzielle und staatliche Intrusion-Detection-Systeme sind
wenig sinnvoll, wenn sie dokumentierte Angriffe nicht
erkennen. Gesetzliche Maßnahmen23 wie die Forderung nach
Meldung von Angriffen binnen 6o Kalenderta-gen gehen völlig
ins Leere angesichts der Erkennung von Angriffen erst nach
mindestens 6 Monaten bis hin zu 18 Monaten – im Solarwinds-
Fall 13 Monate. Es entsteht der Eindruck, dass die US-Behörden
sehr gute Angriffe entwickeln, aber nicht in der Lage sind,
sich gegen Angriffe Dritter hinreichend zu schützen.

In der Bundesrepublik wird großer Wert auf Überwachung
(Entschlüsselung jeglicher Kommunikation) der Bürger gelegt –
die Überwachung des Internetverkehrs und der Schutz vor
Kriminellen scheint vernachlässigt. Die immer wiederkehrende
Kryptodebatte kann daher als Ablenkung der Bürger von den
tatsächlichen Risiken des Internets bezeichnet werden.
Die Politik muss sich fragen lassen, wie sie das Grundrecht
auf körperliche Unversehrtheit24 garantieren will – z.B. in
den Krankenhausfällen und bei der Versorgung mit Impfstoffen

25. Angriffe wie der hier diskutierte Solar-Winds-Fall können
selbst von kapitalkräftigen Unternehmen nicht mehr erkannt,
untersucht oder gar abgewehrt werden.
Ziel der Politik muss sein, Angriffe zu identifizieren und
Unternehmen und Behörden rechtzeitig zu warnen indem auf
bisher unveröffentlichte Sicherheitslücken, backdoors und
covert channels hinzuweisen. Eine solche Initiative gehört in
das IT-Sicherheitsgesetz.

Zwei grundlegende Techniken zur Identifizierung von backdoors
und covert channels26 sind die Analyse der Res-sourcen eines
Systems und eine sorgfältige Static Source Code Analysis
(Quellcode-Analyse). Erfahrungsgemäß können nur 30% der covert
channels Tool-gestützt erkannt werden.
Wenig hilfreich ist der Microsoft-Vorschlag27 die Bildung
einer Signatur über den im SolarWinds praktizierten An-griff
und Vergleich mit aktuellen Datenströmen – vergleichbar Anti-
Virenprogrammen. Damit kann zwar der So-larWinds-Hack erkannt
werden, aber kaum ein anderer.
Ein konstruktiver Zugang zum Thema stellt das ‚Internet
Governance Forum‘28 (IGF) der Vereinten Nationen dar 21 Im
Juni 2019 berichtete die New York Times, dass das US Cyber
Command     tiefer     als     je   zuvor    in    russische
Elektrizitätsversorger eingedrungen sei und Malware eingesetzt
hat. https://bit.ly/38MwOG3
9. Abschließende Bewertung

     Der Gesamtschaden kann von Betroffenen (Unternehmen und
     Behörden) nur sehr aufwändig abgeschätzt werden – und
     dies auch nur, wenn automatisiert Logs auf
     unterschiedlichen Ebenen erstellt wurden.
     Weitere Angriffsvektoren30 – über die 2 veröffentlichten
     backdoors hinaus – dürften noch identifiziert werden –
     ggf. auch nicht unter Nutzung der Orion-Software;
     jedenfalls sind alle Aussagen wie „wurde nicht ausspio-
     niert, nicht sabotiert“ fachlich nicht gerechtfertigt.
     Daneben sind die ‚üblichen‘ Sicherheitsfehler zu
     erkennen wie Veröffentlichung von Passworten, zu lange
     Reaktionszeiten nach Malware-Erkennung.
     Wenn hier der Eindruck entsteht, dass dieser Fall zu den
     wenigen außergewöhnlichen gehört, ist das falsch.
     Vergleichbare Angriffe – vielleicht nicht mit diesem
     Umfang – sind alltäglich. Dementsprechend hat die US-
     amerikanische Cybersecurity and Infrastructure Security
     Agency (CISA) 5 Tage nach Veröffentlichung des Falls
     eine Notfallrichtlinie31 herausgegeben, die SolarWinds-
     Produkte einsetzende US-Behörden auffordert, den Fall
     forensisch zu analysieren und Netzwerkverkehr zu
     Adressen außerhalb der Organisation zu blockieren.
     Behörden ohne entsprechendes Fachwissen sollen die
     Produkte wegen einer möglichen Kompromittierung so-fort
     stilllegen.
     Dieses Papier stellt die Kurzfassung eines vertraulichen
     Prüfberichts dar.

Fußnoten / LINKS/Quellen

1 Prof. Dr. Hartmut Pohl, Geschäftsführer der IT-
Sicherheitsberatung softScheck GmbH Köln – Sankt Augustin
https;//www.softScheck.com Hartmut.Pohl@softScheck.com
2 https://bit.ly/35gbyb5
3 So wurde erfolgreich auf die Quellcodebasis von Windows
(Microsoft) zugegriffen (https://bit.ly/2JA91AC); bisher
unbestätigt (aber wahrscheinlich) sind Zugriffe auf die supply
chain, die – wie beim Zugriff auf die SolarWinds Supply Chain
auch – backdoors in über 85% aller Computer auf der Welt
ermöglichte. Die politischen und wirtschaftlichen Folgen
wurden      bereits      vor    Jahrzehnten       untersucht
(https://bit.ly/3rK8ZHN), wuden aber nicht verstanden:
Weltweit können von den Angreifern binnen weniger Tage oder
auch schlagartig fast alle Computer und damit das Internet
still gelegt werden. Terroristische Interessen (Sabotage)
können nicht ausgeschlossen werden.
4 https://bit.ly/38NCIH1
5 https://bit.ly/34YHuQP6 https://bit.ly/3o2ZO2Y
7 https://bit.ly/2WW1jE2
8 https://bit.ly/353iecp
9 Eine grobe (unbestätigte) Übersicht der CISA findet sich im
Internet   (https://adobe.ly/386Cvj1):   Belkin,   Cisco,
CrowdStrike, Deloitte (seit Juni 20019), FireEye (mit CIA
Beteiligung), Intel, Nvidia, Siemens, VMware. Auch eine Reihe
von US-Behörden wurden durch die schädliche Software
kompromittiert. So soll es den Hackern gelungen sein, in das
Department für Homeland Security einzudringen, das Finanz- und
das Handelsminis-terium und das Energieministerium und in die
Systeme der US-Atomwaffenbehörde, Flughafennetze wie Austin,
der NSA, … Betroffen sind also die Sektoren Telekommunikation,
Luft- und Raumfahrt sowie Verteidigung und Gesundheitswesen.
Weiterhin werden Unternehmen in Großbritannien und der Türkei
genannt sowie insbesondere Cloud/Hosting-Anbieter wie Amazon,
DigitalOcean, Microsoft Azure. Auch der britische Nationale
Ge-sundheitsdienst, das Europäische Parlament und die NATO.
Klassische Ransomware-Angriffe scheinen dagegen die auf Aida,
Funke, Hetzner, Symrise etc. zu sein. Die Bundesregierung
erklärte, es seien keine Zugriffe auf ihre Systeme erfolgt.
Zwischenzeitlich hat auch Microsoft einen erfolgreichen
Angriff eingeräumt – allerdings nicht veröffentlicht, seit
wann die Angreifer in Microsoft-Netzen schon aktiv sind.
(https://reut.rs/352s1PQ)! Da der Angriff Monate zurückliegt,
verfügen einige Unternehmen nicht mehr über die forensischen
Daten, die für eine vollständige Untersuchung unverzichtbar
sind.
10 https://bit.ly/382txUb
11 https://bit.ly/382Sq1Y
12 https://bit.ly/3pHJl4n
13 https://bit.ly/2L7igZy
14 https://bit.ly/38QBUB4
15 https://bit.ly/38Prwd3, https://on.wsj.com/3hIujZG

16 Aus Praktikabilitätsgründen wird die Nachricht (hier das
Update) erst gehasht und dieser Hashwert mit einem (streng
geheim zu haltenden) priva-ten Schlüssel von Solarwinds zu
einer Prüfzahl verschlüsselt. Nur mit dem zugehörigen
öffentlichen Schlüssel kann die Prüfzahl wieder entschlüsselt
werden, so dass das Update authentisch von Solarwinds und
unverändert scheint. Der unberechtigte Einsatz des
Signaturverfahrens setzt also voraus, dass die Angreifer den
privaten Schlüssel unberechtigt lesen und benutzen konnten!
17 https://bit.ly/38Prwd3
18 Backdoor. Hintertür      oder   auch   Falltür.   Verdeckt
(undokumentiert) implementierte Folge von Instruktionen
(Programme, Programmteile in Hard-ware, Firmware und/oder
Software), die einen Zugriff auf ein IT-System durch Umgehung
des Sicherheitssystems (Zugriffskontrollsystems) ermög-licht.
19 Daher wurde auf dem zugehörigen Command & Control Server
ein Killswitch installiert, der bei Aufruf durch die
manipulierte Software die backdoor automatisiert löscht.
https://bit.ly/350NqZQ

20 In Orion-Code von einem weiteren Angreifer eingebettete
Webshell ‚Supernova‘.
des Department of Homeland Security (DHS) ‚Einstein‘ (noch)
nicht gespeichert war.
Eine Bereinigung der bekannt gewordenen Manipulationen wird
weit mehr als 6 Monate benötigen erwartet.

21Allerdings greifen in dieser Form auch die USA andere
Staaten an.

22 https://bit.ly/34ZsUZh
23 https://bit.ly/2MoRjBl
24 Art. 2 Abs. 2 GG
25 https://bit.ly/3aVA84z
26 Verdeckter Kanal. Logischer Kanal, der nicht zur
Informationsübertragung vorgesehen ist – gleichwohl die
unberechtigte und verdeckte (nicht–dokumentierte) Übertragung
d.h. den Austausch von Informationen ermöglicht und damit die
Sicherheitspolitik des IT-Systems verletzt. Es werden zwei
Klassen von covert channels unterschieden covert storage
channels und covert timing channels. Kanal, der einen den
Sicherheitszielen zuwi-derlaufenden Informationsfluss zwischen
mindestens 2 zusammenarbeitenden Instanzen ermöglicht – ohne
durch die Zugriffskontrolle kontrollierbar zu sein, d.h. die
Sicherheitspolitik verletzt.
27 https://bit.ly/3834v76
28 https://bit.ly/3o3kPKK
sowie das ‚Council to Secure the Digital Economy‘29 (CSDE) der
IT- und Telekom-Industrie.

29 https://bit.ly/2JICXe8
30 https://bit.ly/3aWiA8h
31 https://cyber.dhs.gov/ed/21-01/

Prof. Dr. Hartmut Pohl
Geschäftsführender Gesellschafter, softScheck GmbH
Prof. Dr. Hartmut Pohl ist als geschäftsführender
Gesellschafter der IT-Sicherheitsberatung zuständig für
taktische und strategische Sicherheitsberatung u. a. basierend
auf BSI-Grundschutz, ISO 27000-Familie, COBIT, NIST SP 800,
ITIL etc. inkl. Forensik bei der softScheck GmbH in Köln/Sankt
Augustin.
Sie können auch lesen