Solarwinds-Hearing: Vorwürfe gegen Microsoft und AWS

26. Februar 2021 um 13:54
image

Der US-Senat hat mit der Aufarbeitung des Solarwinds-Hacks begonnen. Beim Hearing sprachen diverse Cybersecurity- und Tech-Vertreter. AWS jedoch blieb fern.

Am 24. Februar fand im US-Senat ein erstes öffentliches Hearing zum Solarwinds-Hack statt. Geleitet wurde es vom Geheimdienstaussschuss unter dem Vorsitzenden, Senator Mark Warner (Demokraten, Virginia), und dem stellvertretenden Vorsitzenden, Senator Marco Rubio (Republikaner, Florida). Beim grossangelegten Hack waren neben Unternehmen auch verschiedene US-Ministerien angegriffen worden.
Die Biden-Administration hat eine eigene Untersuchung zum Vorfall eingeleitet. Im ersten Senatshearing gaben dazu nun auch vier Cybersecurity- und Tech-Vertreter Auskunft: Kevin Mandia, CEO von FireEye, Solarwinds-CEO Sudhakar Ramakrishna, Microsoft-Präsident Brad Smith und Crowdstrike-CEO George Kurtz.
Mandia erörterte, wie lange sich die Hacker in den Systemen von FireEye aufhielten, während Ramakrishna auf die Untersuchung von Solarwinds zu potenziellen Eintrittsvektoren einging. Cybersecurity-Spezialist Kurtz beschrieb, wie die Hacker architektonische Einschränkungen in Microsofts Authentifizierungsprozess ausnutzten. Smith schliesslich verteidigte Microsofts Verwendung des SAML-Authentifizierungsstandards. Es wird vermutet, dass die Hacker systemische Schwachstellen in der Windows-Authentifizierungsarchitektur ausgenutzt hatten.
Das Hearing im US-Senat. Video: PBS/Youtube
Der Ausschussvorsitzende Warner erklärte, die Hacker hätten eine "Cyberwaffe verwendet, die so mächtig ist, dass sie lähmend wirken könnte". Das Angriffs- und Penetrationsniveau sei viel höher als das, was man bei früheren Cyberattacken auf die USA gesehen habe. Microsoft-Präsident Smith sagte: "Es ist die grösste und ausgefeilteste Operation dieser Art, die wir je gesehen haben."
Für Solarwinds erklärte Ramakrishna: "Unsere Untersuchung des ursprünglichen Einstiegspunktes ist zu diesem Zeitpunkt noch im Gange. Wir haben in den letzten Monaten eine Reihe von Hypothesen gehabt. In Zusammenarbeit mit unseren Ermittlungspartnern konnten wir sie nun auf etwa drei eingrenzen, die uns hoffentlich dabei helfen werden, uns auf eine zu einigen."

Hinweise auf Russland

Die USA vermuten, dass Russland hinter dem Hack steht, und haben auch schon entsprechende Anschuldigungen bekräftigt. FireEye-CEO Mandia dazu: "Wir sind alle forensischen Untersuchungen durchgegangen. Die Art des Angriffs ist nicht sehr konsistent mit Cyberspionage aus China, Nordkorea oder dem Iran. Und sie stimmt am ehesten mit Cyberspionage und Verhaltensweisen überein, die wir aus Russland kennen."
Für Crowdstrike sagte Kurtz: "Ich weiss, dass die Regierung über Russland als einen der Bedrohungsakteure gesprochen hat. Aus unserer Sicht haben wir nichts weiter hinzuzufügen, um das zu bestätigen oder zu dementieren. Aber was ich Ihnen sagen kann, ist, dass es sich um einen absolut hochentwickelten nationalstaatlichen Akteur handelt."
Zu möglichen US-Reaktionen hatte der nationale Sicherheitsberater Jake Sullivan zuvor erklärt, dass in den kommenden Wochen eine Antwort der US-Regierung zu erwarten sei, die "eine Mischung aus sichtbaren und unsichtbaren Werkzeugen beinhalten und nicht nur aus Sanktionen bestehen wird". In einer Sendung von 'CBS' sagte Sullivan: "Wir werden sicherstellen, dass Russland versteht, wo die Vereinigten Staaten die Grenze für diese Art von Aktivitäten ziehen."

Vorwürfe gegen AWS…

Senator Warner erklärte, man habe auch einen Vertreter von Amazon Web Services zum Hearing eingeladen, doch das Unternehmen habe abgelehnt. Senator Rubio ergänzte: "Anscheinend waren sie heute zu beschäftigt, um das hier mit uns zu besprechen, ich hoffe, dass sie das in Zukunft noch einmal überdenken werden."
Ein weiteres Mitglied des Ausschusses sagte, AWS habe die meisten sekundären Befehls- und Kontrollknoten im Solarwinds-Angriff gehostet, diese gesamte Infrastruktur von AWS hätte sich in den USA befunden. In den Rechenzentren von Amazon würden Server stehen, die in einer kritischen Phase des Solarwinds-Angriffs verwendet wurden. Gegenüber dem 'Wall Street Journal' (Paywall) erklärte ein Cybersecurity-Experte: "Amazon sitzt auf einigen sehr wertvollen oder potenziell wertvollen Daten." Zum Beispiel Netzwerkverkehrsdaten, aus denen hervorgehe, mit wem die Solarwinds-Hacker im Internet interagiert haben.
AWS erklärte in einem Statement, man sei "vom Solarwinds-Problem nicht betroffen, wir verwenden ihre Software nicht". Man habe den Strafverfolgungsbehörden mitgeteilt, was man aus dem Hack gelernt habe. "Wir haben auch Regierungsbeamten, einschliesslich Mitgliedern des Kongresses, detaillierte Informationen gegeben."

… und neue Vorwürfe gegen Microsoft

Im Nachgang zum Hearing griff US-Senator Ron Wyden die Diskussionen um die SAML-Authentifizierung von Microsoft auf. Der Konzern habe nicht genug unternommen, um gefälschte Identitäten zu erkennen oder Kunden davor zu warnen, sagte Wyden zu 'Reuters'. Beim Angriff sei eine Sicherheitslücke namens "Golden SAML" verwendet worden, auf die Sicherheitsforscher bereits 2017 erstmals aufmerksam gemacht hatten. Offenbar wurden so beim US-Finanzministerium E-Mails von Dutzenden Beamten gestohlen.
"Die Regierung gibt Milliarden für Microsoft-Software aus", so Wyden. "Sie sollte vorsichtig sein, mehr Geld für Microsoft auszugeben, bevor wir herausfinden, warum das Unternehmen die Regierung nicht vor der von den Russen verwendeten Hacking-Technik gewarnt hat, von der Microsoft seit mindestens 2017 wusste."
Microsoft bestritt die Schlussfolgerungen von Wyden und teilte 'Reuters' mit, dass das Design seiner Identitätsdienste nicht schuld sei. Der Angriffsvektor "Golden SAML" sei "nie in einem tatsächlichen Angriff verwendet worden" und "weder von den Geheimdiensten als Risiko eingestuft noch von zivilen Agenturen als solches erkannt worden".

Auskünfte von weiteren Unternehmen gefordert

Als nächstes steht ein Hearing im US-Repräsentantenhaus zum Hack an. Senator Warner hatte bereits angekündigt, dass man mit der Untersuchung noch lange nicht am Ende sei: "Es gibt andere namhafte, bekannte IT-, Software- und Cloud-Service-Anbieter, die ebenfalls für diese Art von Vorfällen anfällig gewesen sein könnten. Und deren öffentliche und aktive Beteiligung werden wir bekommen. Wir werden dafür sorgen, dass dies geschieht."

Loading

Mehr erfahren

Mehr zum Thema

image

Schwerwiegende Lücke in OpenSSH entdeckt

Angreifer können sich aus der Ferne Zugriff auf Systeme verschaffen und beliebigen Code ausführen.

publiziert am 2.7.2024
image

Cyberangriff auf Teamviewer

Das Unternehmen hat den Angriff bestätigt. Es gebe keine Anzeichen, dass Kundendaten kompromittiert worden seien.

publiziert am 28.6.2024
image

Das NTC veröffentlicht Schwachstellen

Das Nationale Testinstitut für Cybersicherheit wird auf seinem "Vulnerability Hub" in Zukunft die von ihm gefundenen Schwachstellen veröffentlichen.

publiziert am 28.6.2024
image

Podcast: Die Migros verschlüsselt ihre Kronjuwelen

Quantencomputing gibt Cyberkriminellen mehr Macht, worauf sich Unternehmen vorbereiten müssen. Als eines der ersten in der Schweiz hat die Migros damit begonnen. Das diskutieren wir in dieser Episode.

publiziert am 28.6.2024 1