So entdeckte FireEye den Solarwinds-Hack

8. Januar 2021, 14:35
image

FireEye-CEO Kevin Mandia gibt Einblicke, wie die Firma der Cyberattacke auf die Spur kam. Am Anfang stand ein neu registriertes Telefon.

Anfang Dezember 2020 meldete die Security-Firma FireEye einen Angriff auf ihre Systeme. Es war der erste Hinweis auf die mittlerweile als Solarwinds-Hack bekannte Cyberattacke, die auf zahlreiche US-Behörden, Netzwerke und Unternehmen abzielte. An einem Panel am Aspen Insitute erklärte Kevin Mandia, CEO von FireEye, nun, wie seine Firma den Angriff entdeckte.
Ein neu registriertes Telefon mit einem FireEye-Benutzerkonto habe erste Hinweise auf bösartige Aktivitäten geliefert, sagte Mandia laut 'Dark Reading' am Panel. "In diesem speziellen Fall war das Ereignis, über das ich informiert wurde, dass jemand auf unser Netzwerk zugriff, genau wie wir es tun, aber er tat es mit einem zweiten registrierten Gerät." Der FireEye-Benutzer, dessen Konto mit dem markierten Zugriff verbunden war, wurde kontaktiert und gefragt, ob er ein neues Telefon registriert habe, was jedoch nicht der Fall war.

"Spezialisierte Gruppen" am Werk

Obwohl es sich zunächst um einen "Severity Zero Alert" gehandelt habe, sei dies ein Hinweis auf ein grösseres Sicherheitsereignis gewesen, so Mandia. "Wir hatten jemanden, der unsere Zwei-Faktor-Authentifizierung umging, indem er ein neues Gerät registrierte und auf unser Netzwerk zugriff."
"In dem Moment, in dem wir das sahen, erkannten wir, dass dies die Art von Vorgehensweise ist, die spezialisierte Gruppen anwenden würden", sagte Mandia laut 'Dark Reading'.
Nun begann die interne Analyse. FireEye untersuchte Paketaufzeichnungen und forensische Softwareprotokolle auf seinen Endpunkten – und fand einen roten Faden. "Der früheste Hinweis auf eine Kompromittierung war für uns das System, auf dem sich das Solarwinds-Produkt befand", sagte Mandia.

4000 Zeilen bösartiger Code

Das Unternehmen habe dann begonnen, den Code zu dekompilieren und 4000 Zeilen bösartigen Code gefunden. In der ersten Phase des Angriffs sei die Backdoor über die Solarwinds-Plattform in das Netzwerk von FireEye eingeschleust worden, so Mandia.
In der zweiten Phase sei die Backdoor genutzt worden, um auf Domain-Anmeldeinformationen wie Benutzerkonten und Passwörter zuzugreifen. "In der dritten Stufe ging es darum, die Token-Signatur-Zertifikate zu bekommen, um auf O365 zuzugreifen, wahrscheinlich für bestimmte E-Mail-Konten." Die letzte Stufe des Angriffs sei dann der Diebstahl der Red-Team-Tools von FireEye gewesen.
Mandia sagte weiter, er habe nicht viele ".com"-Verletzungen für diese Art von Angriffen gesehen, daher "rieche die dahinterstehende Angriffsgruppe anders". FireEye hat bis jetzt aber noch keine Aussagen über die möglichen Urheber des Angriffs gemacht. Dies im Gegensatz zu den US-Behörden, die Russland dahinter vermuten.

US-Cybersicherheitsbehörde veröffentlicht Alert-Update

Auch die US-Cybersicherheitsbehörde CISA hat eine neue Mitteilung zum Solarwinds-Hack veröffentlicht. In einem Update ihres Alerts "AA20-352A" schreibt die Behörde, die Angreifer hätten neben ausgefeilten Methoden auch gängige Hackertechniken benutzt, um an Passwörter zu gelangen.
"Die CISA hat Hinweise darauf, dass es neben der Solarwinds Orion-Plattform noch andere Vektoren für den Erstzugriff gibt, und hat Kontomissbrauch als einen dieser Vektoren identifiziert", heisst es im Update. "Insbesondere untersuchen wir Vorfälle, bei denen Aktivitäten vorliegen, die auf einen Missbrauch von SAML-Tokens (Security Assertion Markup Language) hinweisen, die mit dem Verhalten dieses Angreifers übereinstimmen, bei denen jedoch keine betroffenen Solarwinds-Instanzen identifiziert wurden."

Unternehmen sollen Netzwerkprotokolle speichern

Für Unternehmen, die kompromittierte Versionen der Solarwinds-Software installiert haben – selbst wenn die versteckte Malware nicht ausgenutzt wurde, um eine Verbindung nach aussen herzustellen –, empfiehlt die CISA, sicherzustellen, "dass alle Protokolle des Hosts der Solarwinds-Plattform und die zugehörigen Netzwerkprotokolle erfasst und mindestens 180 Tage lang in einer separaten, zentralisierten Log-Aggregationsfunktion gespeichert werden".
"Die CISA hat beobachtet, dass der Angreifer Authentifizierungsdaten in Form von zugewiesenen Token und Zertifikaten zu bestehenden Azure/Microsoft 365 (M365) Application Service Principals hinzufügt", heisst es weiter. Die Behörde rät Unternehmen und Organisationen, auf ungewöhnliche Aktivitäten zu achten, um solche Taktiken zu erkennen.
image
Chris Krebs.

Solarwinds holt Ex-CISA-Chef zur Unterstützung

Solarwinds seinerseits gab am 7. Januar als Reaktion auf den Cyberangriff die Verpflichtung von Chris Krebs bekannt, wie 'Reuters' berichtet. Krebs war bis November 2020 CISA-Chef, bevor er von Donald Trump per Tweet gefeuert wurde.
Krebs hat zusammen mit Alex Stamos, Professor an der Stanford University und ehemaliger Sicherheitschef von Facebook, eine neue Consulting-Firma gegründet. Diese soll nun die Krisenreaktion von Solarwinds koordinieren. Der neue Solarwinds-CEO Sudhakar Ramakrishna sagte, dass die Einstellung der beiden Experten Teil der Bemühungen sei, das Unternehmen zu transformieren, das für seine schlechte Sicherheit kritisiert wurde.

Loading

Mehr zum Thema

image

Vertragsauflösung in UK: Bei Atos könnten viele Stellen wegfallen

Ein auf potenziell 18 Jahre angelegter Vertrag zwischen der britischen Pensionskasse und dem IT-Dienstleister wurde nach 2 Jahren aufgelöst. Medien gehen von 1000 Stellen aus, die gefährdet sind.

publiziert am 3.2.2023
image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023