So entdeckte FireEye den Solarwinds-Hack

8. Januar 2021 um 14:35
image

FireEye-CEO Kevin Mandia gibt Einblicke, wie die Firma der Cyberattacke auf die Spur kam. Am Anfang stand ein neu registriertes Telefon.

Anfang Dezember 2020 meldete die Security-Firma FireEye einen Angriff auf ihre Systeme. Es war der erste Hinweis auf die mittlerweile als Solarwinds-Hack bekannte Cyberattacke, die auf zahlreiche US-Behörden, Netzwerke und Unternehmen abzielte. An einem Panel am Aspen Insitute erklärte Kevin Mandia, CEO von FireEye, nun, wie seine Firma den Angriff entdeckte.
Ein neu registriertes Telefon mit einem FireEye-Benutzerkonto habe erste Hinweise auf bösartige Aktivitäten geliefert, sagte Mandia laut 'Dark Reading' am Panel. "In diesem speziellen Fall war das Ereignis, über das ich informiert wurde, dass jemand auf unser Netzwerk zugriff, genau wie wir es tun, aber er tat es mit einem zweiten registrierten Gerät." Der FireEye-Benutzer, dessen Konto mit dem markierten Zugriff verbunden war, wurde kontaktiert und gefragt, ob er ein neues Telefon registriert habe, was jedoch nicht der Fall war.

"Spezialisierte Gruppen" am Werk

Obwohl es sich zunächst um einen "Severity Zero Alert" gehandelt habe, sei dies ein Hinweis auf ein grösseres Sicherheitsereignis gewesen, so Mandia. "Wir hatten jemanden, der unsere Zwei-Faktor-Authentifizierung umging, indem er ein neues Gerät registrierte und auf unser Netzwerk zugriff."
"In dem Moment, in dem wir das sahen, erkannten wir, dass dies die Art von Vorgehensweise ist, die spezialisierte Gruppen anwenden würden", sagte Mandia laut 'Dark Reading'.
Nun begann die interne Analyse. FireEye untersuchte Paketaufzeichnungen und forensische Softwareprotokolle auf seinen Endpunkten – und fand einen roten Faden. "Der früheste Hinweis auf eine Kompromittierung war für uns das System, auf dem sich das Solarwinds-Produkt befand", sagte Mandia.

4000 Zeilen bösartiger Code

Das Unternehmen habe dann begonnen, den Code zu dekompilieren und 4000 Zeilen bösartigen Code gefunden. In der ersten Phase des Angriffs sei die Backdoor über die Solarwinds-Plattform in das Netzwerk von FireEye eingeschleust worden, so Mandia.
In der zweiten Phase sei die Backdoor genutzt worden, um auf Domain-Anmeldeinformationen wie Benutzerkonten und Passwörter zuzugreifen. "In der dritten Stufe ging es darum, die Token-Signatur-Zertifikate zu bekommen, um auf O365 zuzugreifen, wahrscheinlich für bestimmte E-Mail-Konten." Die letzte Stufe des Angriffs sei dann der Diebstahl der Red-Team-Tools von FireEye gewesen.
Mandia sagte weiter, er habe nicht viele ".com"-Verletzungen für diese Art von Angriffen gesehen, daher "rieche die dahinterstehende Angriffsgruppe anders". FireEye hat bis jetzt aber noch keine Aussagen über die möglichen Urheber des Angriffs gemacht. Dies im Gegensatz zu den US-Behörden, die Russland dahinter vermuten.

US-Cybersicherheitsbehörde veröffentlicht Alert-Update

Auch die US-Cybersicherheitsbehörde CISA hat eine neue Mitteilung zum Solarwinds-Hack veröffentlicht. In einem Update ihres Alerts "AA20-352A" schreibt die Behörde, die Angreifer hätten neben ausgefeilten Methoden auch gängige Hackertechniken benutzt, um an Passwörter zu gelangen.
"Die CISA hat Hinweise darauf, dass es neben der Solarwinds Orion-Plattform noch andere Vektoren für den Erstzugriff gibt, und hat Kontomissbrauch als einen dieser Vektoren identifiziert", heisst es im Update. "Insbesondere untersuchen wir Vorfälle, bei denen Aktivitäten vorliegen, die auf einen Missbrauch von SAML-Tokens (Security Assertion Markup Language) hinweisen, die mit dem Verhalten dieses Angreifers übereinstimmen, bei denen jedoch keine betroffenen Solarwinds-Instanzen identifiziert wurden."

Unternehmen sollen Netzwerkprotokolle speichern

Für Unternehmen, die kompromittierte Versionen der Solarwinds-Software installiert haben – selbst wenn die versteckte Malware nicht ausgenutzt wurde, um eine Verbindung nach aussen herzustellen –, empfiehlt die CISA, sicherzustellen, "dass alle Protokolle des Hosts der Solarwinds-Plattform und die zugehörigen Netzwerkprotokolle erfasst und mindestens 180 Tage lang in einer separaten, zentralisierten Log-Aggregationsfunktion gespeichert werden".
"Die CISA hat beobachtet, dass der Angreifer Authentifizierungsdaten in Form von zugewiesenen Token und Zertifikaten zu bestehenden Azure/Microsoft 365 (M365) Application Service Principals hinzufügt", heisst es weiter. Die Behörde rät Unternehmen und Organisationen, auf ungewöhnliche Aktivitäten zu achten, um solche Taktiken zu erkennen.
image
Chris Krebs.

Solarwinds holt Ex-CISA-Chef zur Unterstützung

Solarwinds seinerseits gab am 7. Januar als Reaktion auf den Cyberangriff die Verpflichtung von Chris Krebs bekannt, wie 'Reuters' berichtet. Krebs war bis November 2020 CISA-Chef, bevor er von Donald Trump per Tweet gefeuert wurde.
Krebs hat zusammen mit Alex Stamos, Professor an der Stanford University und ehemaliger Sicherheitschef von Facebook, eine neue Consulting-Firma gegründet. Diese soll nun die Krisenreaktion von Solarwinds koordinieren. Der neue Solarwinds-CEO Sudhakar Ramakrishna sagte, dass die Einstellung der beiden Experten Teil der Bemühungen sei, das Unternehmen zu transformieren, das für seine schlechte Sicherheit kritisiert wurde.

Loading

Mehr zum Thema

image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Hausmitteilung: Unterstützen Sie unabhängigen Tech-Journalismus

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Wir würden uns freuen, wenn Sie unsere Arbeit unterstützen.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024