FireEye-CEO Kevin Mandia gibt Einblicke, wie die Firma der Cyberattacke auf die Spur kam. Am Anfang stand ein neu registriertes Telefon.
Anfang Dezember 2020 meldete die Security-Firma FireEye einen Angriff auf ihre Systeme. Es war der erste Hinweis auf die mittlerweile als Solarwinds-Hack bekannte Cyberattacke, die auf zahlreiche US-Behörden, Netzwerke und Unternehmen abzielte. An einem Panel am Aspen Insitute erklärte Kevin Mandia, CEO von FireEye, nun, wie seine Firma den Angriff entdeckte.
Ein neu registriertes Telefon mit einem FireEye-Benutzerkonto habe erste Hinweise auf bösartige Aktivitäten geliefert, sagte Mandia laut 'Dark Reading' am Panel. "In diesem speziellen Fall war das Ereignis, über das ich informiert wurde, dass jemand auf unser Netzwerk zugriff, genau wie wir es tun, aber er tat es mit einem zweiten registrierten Gerät." Der FireEye-Benutzer, dessen Konto mit dem markierten Zugriff verbunden war, wurde kontaktiert und gefragt, ob er ein neues Telefon registriert habe, was jedoch nicht der Fall war.
"Spezialisierte Gruppen" am Werk
Obwohl es sich zunächst um einen "Severity Zero Alert" gehandelt habe, sei dies ein Hinweis auf ein grösseres Sicherheitsereignis gewesen, so Mandia. "Wir hatten jemanden, der unsere Zwei-Faktor-Authentifizierung umging, indem er ein neues Gerät registrierte und auf unser Netzwerk zugriff."
"In dem Moment, in dem wir das sahen, erkannten wir, dass dies die Art von Vorgehensweise ist, die spezialisierte Gruppen anwenden würden", sagte Mandia laut 'Dark Reading'.
Nun begann die interne Analyse. FireEye untersuchte Paketaufzeichnungen und forensische Softwareprotokolle auf seinen Endpunkten – und fand einen roten Faden. "Der früheste Hinweis auf eine Kompromittierung war für uns das System, auf dem sich das Solarwinds-Produkt befand", sagte Mandia.
4000 Zeilen bösartiger Code
Das Unternehmen habe dann begonnen, den Code zu dekompilieren und 4000 Zeilen bösartigen Code gefunden. In der ersten Phase des Angriffs sei die Backdoor über die Solarwinds-Plattform in das Netzwerk von FireEye eingeschleust worden, so Mandia.
In der zweiten Phase sei die Backdoor genutzt worden, um auf Domain-Anmeldeinformationen wie Benutzerkonten und Passwörter zuzugreifen. "In der dritten Stufe ging es darum, die Token-Signatur-Zertifikate zu bekommen, um auf O365 zuzugreifen, wahrscheinlich für bestimmte E-Mail-Konten." Die letzte Stufe des Angriffs sei dann der Diebstahl der Red-Team-Tools von FireEye gewesen.
Mandia sagte weiter, er habe nicht viele ".com"-Verletzungen für diese Art von Angriffen gesehen, daher "rieche die dahinterstehende Angriffsgruppe anders". FireEye hat bis jetzt aber noch keine Aussagen über die möglichen Urheber des Angriffs gemacht. Dies im Gegensatz zu den US-Behörden, die Russland dahinter vermuten.
Auch die US-Cybersicherheitsbehörde CISA hat eine neue Mitteilung zum Solarwinds-Hack veröffentlicht. In einem Update ihres Alerts "AA20-352A" schreibt die Behörde, die Angreifer hätten neben ausgefeilten Methoden auch gängige Hackertechniken benutzt, um an Passwörter zu gelangen.
"Die CISA hat Hinweise darauf, dass es neben der Solarwinds Orion-Plattform noch andere Vektoren für den Erstzugriff gibt, und hat Kontomissbrauch als einen dieser Vektoren identifiziert", heisst es im Update. "Insbesondere untersuchen wir Vorfälle, bei denen Aktivitäten vorliegen, die auf einen Missbrauch von SAML-Tokens (Security Assertion Markup Language) hinweisen, die mit dem Verhalten dieses Angreifers übereinstimmen, bei denen jedoch keine betroffenen Solarwinds-Instanzen identifiziert wurden."
Unternehmen sollen Netzwerkprotokolle speichern
Für Unternehmen, die kompromittierte Versionen der Solarwinds-Software installiert haben – selbst wenn die versteckte Malware nicht ausgenutzt wurde, um eine Verbindung nach aussen herzustellen –, empfiehlt die CISA, sicherzustellen, "dass alle Protokolle des Hosts der Solarwinds-Plattform und die zugehörigen Netzwerkprotokolle erfasst und mindestens 180 Tage lang in einer separaten, zentralisierten Log-Aggregationsfunktion gespeichert werden".
"Die CISA hat beobachtet, dass der Angreifer Authentifizierungsdaten in Form von zugewiesenen Token und Zertifikaten zu bestehenden Azure/Microsoft 365 (M365) Application Service Principals hinzufügt", heisst es weiter. Die Behörde rät Unternehmen und Organisationen, auf ungewöhnliche Aktivitäten zu achten, um solche Taktiken zu erkennen.
Chris Krebs.
Solarwinds holt Ex-CISA-Chef zur Unterstützung
Solarwinds seinerseits gab am 7. Januar als Reaktion auf den Cyberangriff die Verpflichtung von Chris Krebs bekannt, wie 'Reuters' berichtet. Krebs war bis November 2020 CISA-Chef, bevor er von Donald Trump per Tweet gefeuert wurde.
Krebs hat zusammen mit Alex Stamos, Professor an der Stanford University und ehemaliger Sicherheitschef von Facebook, eine neue Consulting-Firma gegründet. Diese soll nun die Krisenreaktion von Solarwinds koordinieren. Der neue Solarwinds-CEO Sudhakar Ramakrishna sagte, dass die Einstellung der beiden Experten Teil der Bemühungen sei, das Unternehmen zu transformieren, das für seine schlechte Sicherheit kritisiert wurde.