Cyberangriff auf Fireeye-Systeme

Backdoor in Solarwinds-Update installiert

14. Dezember 2020, 9:05 Uhr | Martin Fryba
Muss in eigener Angriffssache derzeit Feuerwehr spielen: Kevin Mandia, CEO Fireeye
© Mandiant

Fireeye wurde über eine »Software-Lieferkette« gehackt. Die Lücke sei in Solarwinds verwendetem Tool Orion zur Netzwerküberwachung eingebaut worden. Die Raffinesse des Hacks deutet auf einen staatlich gelenkten Cyberkrieg seit Frühjahr 2020 hin.

Der US-Sicherheitsanbieter Fireeye hat am Ende der dramatischten Woche seit Firmengründung wie versprochen Details des schweren Sicherheitsvorfalls veröffentlicht. Aus einem Blogbeitrag geht hervor, wie raffiniert und vorsichtig Hacker dabei vorgegangen waren. US-Anbieter Fireeye ist ein hochrenommierter, von vielen Großkunden und nationalen Sicherheitsbehörden eingesetzter IT-Security-Hersteller. Entsprechend professionell und mit sehr hohem Aufwand und mit viel Geld ausgestattet müssen Cyberkriminelle vorgegangen sein. Ein direkter Angriff auf die Systeme von Fireeye hätte wohl keinen Erfolg gehabt, so das Kalkül der Hacker.


Darum verfolgten sie einen indirekten Weg, um in die Systeme von Unternehmen oder staatlichen Organisationen eindringen zu können. Man habe eine »globale Kampagne« ausgemacht, die »über die Software-Lieferkette« Netzwerke öffentlicher und privater Organisationen habe kompromittieren können, teilte Fireeye am Sonntag mit. Die Lücke sollen Hacker über die IT-Management-Plattform von Solarwinds gefunden haben. Ein Update für das Netzwerküberwachungsprodukt Orion von Solarwinds sei von ihnen manipuliert worden, teilte Fireeye mit. Sie habe dem Angreifer Fernzugriff auf die Umgebung des Opfers ermöglicht.


Domino-Effekt theoretisch möglich
Tausende von MSPs verwendet die RMM- und IT-Managementsuiten des weltweiten Marktführers. Viele Sicherheitshersteller wiederum bieten über die Plattformen von Solarwinds ihre MSP-fähigen Lösungen an, die dann von MSPs für ihre Kunden eingesetzt werden können. Eine solche » Software-Lieferkette« besteht aus dem Kernsystem von Solarwinds und aus vielen Lösungen von Drittherstellern. Der Vorteil aus Hackersicht: Installiert man hier eine einzige Backdoor, kann diese mehrere Türen zu anderen Kundensystemen öffnen – theoretisch jedenfalls. Im aktuellen Bedrohungsfall haben die Täter, anders als beispielsweise beim Schrottflinteneinsatz von Verschlüsselungstojanern für Erpressungszahlungen,  ihre Opfer wohl vorher indenfifiziert und sind individuell mit erheblichem Aufwand vorgegangen.


Laut Fireeye-CEO Kevin Mandia kam ein »geringer Malware-Fußabdruck« zum Einsatz, um nicht endeckt zu werden und die Mission zum Erfolg zu führen. Die so Getarnten hätten zunächt die Netzwerkaktivitäten sehr genau und über einen längeren Zeitraum unentdeckt beobachten können, um dann unauffällig ihre Schadsoftware über das Orion-Update von Solarwinds einspielen zu können. Ihre Spuren hätten sie konsequent verwischt und schwer zuzuordnende Tools verwendet.


Fireey bekräftigte die Vermutung, dass die Angreifer im Auftrag staatlicher Behörden arbeiten. »Die Kampagne demonstriert erstklassige operative Fähigkeiten und Ressourcen, die mit staatlich unterstützten Bedrohungsakteuren übereinstimmen« , sagt Fireeye-CEO Mandia.


Seit Frühjahr mehrere Kunden betroffen
Ferner teilte Fireeye mit, dass man mehrere Organisationen ausgemacht habe, die von der seit Frühjahr eingesetzten Schadsoftware im Solarwinds-Netzwerküberwachungstool Orion betroffen seien. Die Schadsoftware würden sich aber nicht von selbst verbreiten. »Jeder der Angriffe erfordert eine sorgfältige Planung und manuelle Interaktion«, so Mandia. Man stehe mit Solarwinds, dem Federal Bureau of Investigation sowie anderen wichtigen Partnern in enger Abstimmung. »Wir halten es für wichtig, alle unsere Kunden und die Sicherheits-Community über diese Bedrohung zu informieren, damit Unternehmen entsprechende Maßnahmen ergreifen können«, so der Fireeye-CEO.


Mandia und sein Team verdächtigen Russland hinter dem schweren Cyberangriff. Sie wissen auch viel mehr Details, die sie aus ermittlungstaktischen Gründen aktuell nicht veröffentlichen können. Auch das FBI ist an den laufenden Untersuchungen beteiligt.

 

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu FireEye

Weitere Artikel zu Betriebs-Sicherheit

Weitere Artikel zu Cloud Backup

Matchmaker+