Die Unterwanderung eines Softwaretools der Firma Solar Winds scheint sich zu einem der schwersten Cyberangriffe der vergangenen Jahre auszuwachsen, haben sich doch staatliche Hacker auf diesem Weg nicht nur Zugriff auf mehrere US-Behörden – darunter das Handelsministerium und die Atomwaffenbehörde – verschafft und diese monatelang unbemerkt ausspioniert, die Zahl der Betroffenen steigt auch immer weiter.

Große Unternehmen erwischt

Die neuesten Opfer: Laut einem aktuellen Bericht des "Wall Street Journal" sollen die Hacker auch bei Intel, Nvidia, Cisco, Belkin und Vmware erfolgreich gewesen sein. All diese Firmen zählen zu jenen rund 18.000 Organisationen, die zwischen März und Juli 2020 ein mit einem Backdoor versehenes Update des Netzwerkanalysetools Solar Winds Orion geliefert bekommen haben. Die Angreifer hatten zuvor den Update-Server von Solar Winds kompromittiert, um dort dann direkt beim Erstellen dieser Pakete Schadcode einzuschmuggeln. Da diese offiziell von der Firma signiert waren, fiel den Opfern auch nichts auf.

Bei all dem gilt es aber, eines zu betonen: Dass die Hintertür eingeschmuggelt wurde, heißt nicht, dass sie auch wirklich aktiv ausgenutzt wurde. Denn dies erfolgt erst in einem zweiten Schritt, der von den Hackern sehr gezielt für einzelne Organisationen angepasst wurde, um nicht aufzufallen. So hatte etwa auch Microsoft vor einigen Tagen bestätigt, dass man die unterwanderte Version der Solar-Winds-Software in den eigenen Systemen gefunden hat, dass diese aber nach aktuellem Kenntnisstand nicht für weitere Angriffe genutzt worden sei.

Horrorszenario

Sollte dies in den betreffenden Fällen anders sein, wäre das eine Art Worst Case. Immerhin könnte man die Verankerung bei diesen Firmen wieder als Ausgangspunkt nutzen, um Schadsoftware in deren Produkte einschmuggeln. Und da all diese Unternehmen – auf die eine oder andere Weise – eine zentrale Rolle in der Internet-Infrastruktur einnehmen, könnte dies dann für recht weitreichende Spionagetätigkeiten genutzt werden. Es sei allerdings noch einmal betont, dass es bisher keinerlei Belege dafür gibt, dass dies auch wirklich passiert ist.

Analyse

Unterdessen sind technische Details bekannt geworden, die zeigen, wie professionell die Hacker vorgegangen sind. Laut einer Analyse von Kaspersky sind die Angreifen bewusst extrem langsam und vorsichtig vorgegangen, um eine Entdeckung zu verhindern. So sei nach einer Infektion mit dem Backdoor zunächst einmal zwei Wochen lang gar nichts passiert. Erst dann hätte die Hintertür Kontakt mit einem "Command and Control"-Server aufgenommen, um weitere Befehle zu erhalten. Die gesamte Kommunikation wurde dabei verschleiert, indem Befehle in kodierter Form an DNS-Anfragen angehängt wurden. Solche Anfragen werden eigentlich genutzt, um IP-Adressen im Netz dem Domain-Namen zuzuordnen.

Klar ist jedenfalls, dass die betroffenen Firmen nun einiges an Arbeit vor sich haben. Nicht nur, um die Schadsoftware zu entfernen, generell ist es nach einem solche Einbruch oft nur schwer möglich, dem eigenen Netzwerk wieder zu vertrauen. Das Entfernen professioneller Hacker ist oft ein Katz-und-Maus-Spiel, bei dem sie immer wieder neue Systeme infizieren. Dazu kommt, dass auch die laufenden Ermittlungen wohl noch länger dauern werden. So gehen die Ermittler davon aus, dass die betreffende Lücke noch von einer zweiten – aber technisch weniger versierten – Hackergruppe ausgenutzt wurde, die quasi die Gelegenheit für sich genutzt hat.

Zuordnung

Die Frage, wer hinter der Attacke steckt, steht unterdessen im Zentrum einer Auseinandersetzung innerhalb der Trump-Regierung. Während sowohl Außen- als auch Justizministerium die russische Regierung – oder genauer gesagt die dem Geheimdienst FSB zugeordneten Hacker von APT29 ("Fancy Bear") – hinter dem Angriff vermuten, blockiert das Weiße Haus eine entsprechende Erklärung. (Andreas Proschofsky, 22.12.2020)