Eine Reihe von Hackerangriffen hat in den vergangenen Tagen für einige Aufregung gesorgt. Wurden doch in kurzer Folge nicht nur diverse interne Tools bei dem Sicherheitsdienstleister Fireeye gestohlen, den Hackern ist es noch dazu gelungen, bei einer Reihe von US-Behörden einzubrechen – darunter etwa das Handels- und das Heimatschutzministerium. Dass sowohl Regierungkreise als auch Fireeye hinter den Kulissen die Information streuen, dass dahinter die russischen Hacker von APT29 ("Cozy Bear") stehen, fügt dem Ganzen eine brisante Komponente hinzu. Auch wenn der Kreml natürlich jegliche Verantwortung von sich weist.
Während die zuverlässige Zuordnung noch Monate dauern könnte – so sie denn überhaupt möglich ist –, werden nun andere Details bekannt. Und die zeigen zweierlei: wie hochprofessionell die Angreifer vorgegangen sind, aber auch, dass erheblich mehr Firmen und Organisationen betroffen sind als bisher angenommen.
SolarWinds
Den mutmaßlich staatlichen Hackern ist es gelungen, eine Hintertür in ein von all den betroffenen Unternehmen und Organisationen genutztes Netzwerkanalyse-Tool einzubringen. Dies bestätigt dessen Hersteller, die texanische Firma Solar Winds. Jeder Kunde, der zwischen März und Juni dieses Jahres ein Update des betreffenden Tools installierte, hat sich damit potenziell auch die Hacker ins eigene Netzwerk geholt. Der Hersteller spricht hier von 18.000 betroffenen Kunden.
Damit dies möglich ist, wurde zunächst eine – bisher offenbar unbemerkt gebliebene – Attacke bei Solar Winds durchgeführt. Ziel war dabei das sogenannte "Build System" des Unternehmens, wo der Quellcode in zur Auslieferung bestimmte Binärpakete umgewandelt wird. Die Angreifer haben dieses System so verändert, dass beim Kompilieren des Codes Schadroutinen eingeschmuggelt wurden. Dies hat den Vorteil, dass die Modifikationen im internen Quellcode nicht sichtbar waren, wo sie sonst auffallen hätten können.
Gute Wahl
Die Wahl von Solar Winds als Ziel ist ebenfalls äußerst durchdacht. Immerhin hat so ein Netzwerkanalyse-Tool einen weitgehend uneingeschränkten Zugang zum Datenverkehr. Damit ist es quasi der perfekte Ansatzpunkt für alle, die interne Informationen mitlesen wollen.
Von Fireeye heißt es, dass man angesichts der neuen Faktenlage noch die Tragweite des gesamten Vorfalls analysiere. Man habe aber schon einige zusätzliche Organisationen identifiziert, bei denen die Hintertür nach der Installation von den Angreifern auch wirklich ausgenutzt wurde. Das ist in dem Fall wichtig, weil das Vorhandensein der Backdoor noch nicht bedeutet, dass sie auch wirklich aktiv zur Spionage genutzt wird. Die Angriffe sind so gestaltet, dass sie sehr gezielt für jedes Opfer angepasst werden.
Aufräumarbeiten
Unterdessen sind die Betroffenen damit beschäftig, die eigenen Computersysteme wieder von der Spionagesoftware zu reinigen. So hat das US-Heimatschutzministerium eine Notfallanordnung an sämtliche Bundesbehörden, die die Software von Solar Winds nutzen, herausgegeben. Diese müssen eine eingängige Prüfung der eigenen Netzwerke vornehmen. (Andreas Proschofsky, 15.12.2020)