[TinyTimm]

Zitat:

Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert. Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.

Das von einem einem Cyberangriff schwer getroffene Unternehmen SolarWinds hat zwei der bekanntesten Experten für Cybersicherheit engagiert. Alex Stamos, dem Ex-Sicherheitschef von Facebook und Professor an der Universität Stanford sowie dem von Donald Trump zuletzt gefeuerten Direktor der US-Cybersicherheitsagentur (CISA) Chris Krebs steht eine gigantische Aufgabe bevor.

Die monatelang mit Schadsoftware verseuchten Kontrollsysteme von Solarwinds stehen an den neuralgischen Punkten von 18.000 der größten Netzwerke vorwiegend in den USA, etwa zehn US-Ministerien und Behörden wurden nachweislich bereits angegriffen. Zuletzt kam das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit dazu. Am Mittwoch erweiterte die CISA ihren Warnungskatolog, denn das ist keine gewöhnliche Spionageaktion, sondern ein skalierender Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.

Zweiter Angriffsvektor noch ungeklärt

Die neuen Warnungen der CISA betreffen einen zweiten, noch nicht identifizierten Angriffsvektor, denn die Spuren der Angreifer sind auch in Netzen aufgetaucht, in denen die betroffene Orion-Suite von Solarwinds gar nicht im Einsatz war. Diese Spuren führen zu digitalen Zertifikaten für die Sicherheits- und Authentifizierungsprotokolle der Azure-Cloud von Microsoft. Das Unternehmen hatte schon relatіv bald eine Kompromittierung seiner Netze einräumen und zuletzt bekanntgeben müssen, dass Angreifer bis nahe zu den Kronjuwelen vorgedrungen waren, nämlich zu den Quellcodes der Software, die bei der Verwaltung der Azure-Cloud zum Einsatz kommt.

Wenn sich bestätigen sollte, dass am Zertifizierungsprozess für den Quellcode der Azure-Cloud manipuliert wurde, erhielte der Fall eine völlig neue Dimension, denn mit 18 Prozent Weltmarktanteil ist Microsoft zweitgrößter Anbieter im globalen Cloudgeschäft hinter Amazon. Das ohnehin schon unübersichtlich große Bedrohungsszenario würde dadurch noch erweitert und ebenso, wenn sich ein weiterer Verdacht bestätigt, dem das FBI gerade nachgeht. Das einer breiteren Öffentlichkeit kaum bekannte Unternehmen JetBrains aus der tschechischen Republik, dessen Software-Distributionssystem TeamCity von 80 Prozent der Top 100 US-Fіrmen verwendet wird, soll ebenfalls kompromittiert worden sein.

Die Ironie ist, dass ausgerechnet ein Frühwarnsystem gegen Angriffe wie die Orion-Plattform von SolarWinds das Einfallstor für alle Attacken darstellte. Die Analyse der Sicherheitsfirma FireEye, die selbst gehackt wurde, listet alle bis jetzt bekannten Angriffstechniken auf.

Angriffskaskade in der Lieferkette

Wie Microsoft dementiert auch JetBrains eine Kompromittierung seiner Software, allerdings liegt der Verdacht schon nahe, dass der noch nicht identifizierte, zweite große Angriffsvektor mit Produkten dieser beiden Unternehmen zu tun haben sollte. Die Standardfrage nach jedem Großangriff im Cyberraum - wieviel und welche IT-Systeme betroffen oder akut gefährdet sind, ist mittlerweile eher umgekehrt zu stellen, nämlich, wieviele große Netze dadurch nicht betroffen sind. Es ist ein kaskadierender Angriff, der mit der Infiltration einer Lieferkette begann, nämlich der Software-Produktion von SolarWinds.

ss, in dem die Codes der einzelnen (regulären) Programmierer zusammengeführt werden, infiltriert hatten, ist bis dato nicht bekannt. Ein tragende Rolle bei diesem Prozess spielte jedenfalls die Firma JetBrains, die bei Solarwinds eingesetzt wird, um den Softwareproduktionsprozess zu koordinieren.

Elitetruppe Kuschelbär

Die Angreifer sind mit an Sicherheit grenzender Wahrscheinlichkeit APT 29, alias Cozy Bear (Kuschelbär) - so das einhellige Urteil der Sicherheitsbranche - eine ganz auf fortgeschrittene elektronische Nachrichtenaufklärung, also auf Netzwerkspionage ausgerichtete Einheit des russischen Auslandsgeheimdienstes SVR. APT 29 ist das Gegenstück zu NSA-Abteilungen wie der Equation Group, das von Edward Snowden ans Licht gebrachte Konvolut zeigt ziemlich klar, was solche Einheiten unter „Network Intelligence“ verstehen und welche Methoden angewendet werden. Angriffe von NSA und GCHQ auf Lieferketten werden da ganz selbstverständlich als Instrumente zur Nachrichtenaufklärung geschildert.

Folgerichtig wird auch dieser Fall in den USA offiziellerseits als Spionageakt eingestuft.Es bleibt auch nicht viel anderes übrig, denn bis jetzt wurden weder Steuerungssysteme für Kraftwerke, Raffinerien oder andere Produktionsanlagen angegriffen, noch gab es mutwillige Zerstörungen. Eine hocklassige Truppe wie Fancy Bear hätte ihre multiple Präsenz in den Netzwerken von Ministerien, Regierung und Behörden auch nützen können, um diese Netze gleichzeitig zu verschlüsseln. An den Maßstäben der USA gemessen haben diese Kuschelbären mit diesem Angriff also keine roten Linien überschritten, auch wenn dieser Angriff durch seine schiere Dimension eine Qualität angenommen hat, die weit über einen reinen Spionageangriff hinausgeht.

Was an vorläufigen Erkenntnissen vorliegt

Die Angreifer legten deutlich höheren Wert auf eine möglichst breite Eskalierung des Angriffs, als auf eine verdeckte und persistente Spionagekampagne. Hätte man (nur) das im Sinn gehabt, wäre bei weitem nicht so breit gleichzeitig skaliert worden, denn damit steigt das Risiko, aufzufliegen in lichte Höhen. Die Firma FireEye wäre gar nicht angegriffen worden, da sie als verlängerter Arm der NSA im Defensivbereich und härtester Gegner aller russischen APT-Gruppen gilt. Dort wurde nicht nur spioniert, vielmehr hatten die Kuschelbären auch die Red-Team-Tools des Unternehmens mitgenommen. Das ist eine digitale Werkzeug- und Materialkiste, wie sie etwa Penetrationstester verwenden, um durch simulierte Angriffe die Netzwerksicherheit zu testen.

Da FireEye damit rechnen musste, dass diese Software-Tools öffentlich gemacht oder gar in eine Cyberwaffe eingebaut wurden, sah sich die Firma gezwungen, ihr gesamtes Arsenal in einer demütigenden Offenlegungsaktion öffentlich zu „verbrennen“. All das geschah vor den Augen der NSA, die solche Angriffe eigentlich abwehren sollte. Man sieht also, dass den Angreifern die psychologische Auswirkungen dieses Angriffs weit wichtiger waren als Spionage. Allerdings ist da noch eine gewaltige, strategische Komponente mit im Spiel. Die Kuschelbären hatten alle Zeit der Welt, in Netzwerken von besonderem Interesse unauffällige Implants verdeckt zu deponieren, um zu einem Zeitpunkt ihrer Wahl zurückzukehren.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[karfingo]

Erst Kaspersky aus den Netzen verbannen und jetzt „Himmel und Hölle“ zetern; das liebe ich an den Behörden.

[bollberg1]

sind die russischen hacker soviel besser und geschickter wie die nsa und co?
wenn man hört, daß das direkt vor ihrer nase geschieht?
von erwischten angriffen auf russischem terain wird man freilich nichts hören, aber die frage stellt sich mir trotzdem.

[karfingo]

Mit vpn kannst du dich jederzeit als Russe ausgeben.

[csesraven]

Zitat:

Zitat von bollberg1

sind die russischen hacker soviel besser und geschickter wie die nsa und co?
wenn man hört, daß das direkt vor ihrer nase geschieht?
von erwischten angriffen auf russischem terain wird man freilich nichts hören, aber die frage stellt sich mir trotzdem.

Nein, die geben sich sicher nicht viel. Der Angriff ist (fast) immer leichter als die Verteidigung. Stell dir Einbrecher vor, die jedes Haus in Deutschland knacken könnten ohne physisch da sein zu müssen. Die Polizei hat einfach 0 Chance. Und dann such mal in jedem Haus, nach einer gut versteckten Wanze, die vllt dagelassen wurde.

Ein Alptraum

[karfingo]

Zitat:

Zitat von csesraven

Ein Alptraum

.. und einen Staatstrojaner, den die Zolipei da lässt ..