Cyberangriff auf die USA eskaliert immer weiter

Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert. Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.

Von Erich Moechel

Das von einem einem Cyberangriff schwer getroffene Unternehmen SolarWinds hat zwei der bekanntesten Experten für Cybersicherheit engagiert. Alex Stamos, dem Ex-Sicherheitschef von Facebook und Professor an der Universität Stanford sowie dem von Donald Trump zuletzt gefeuerten Direktor der US-Cybersicherheitsagentur (CISA) Chris Krebs steht eine gigantische Aufgabe bevor.

Die monatelang mit Schadsoftware verseuchten Kontrollsysteme von Solarwinds stehen an den neuralgischen Punkten von 18.000 der größten Netzwerke vorwiegend in den USA, etwa zehn US-Ministerien und Behörden wurden nachweislich bereits angegriffen. Zuletzt kam das Aktenlaufsystem des Justizministeriums für die US-weite Gerichtsbarkeit dazu. Am Mittwoch erweiterte die CISA ihren Warnungskatolog, denn das ist keine gewöhnliche Spionageaktion, sondern ein skalierender Cyberangriff mit dem höchsten bisher bekannten Bedrohungspotential.

Zweiter Angriffsvektor noch ungeklärt

Die neuen Warnungen der CISA betreffen einen zweiten, noch nicht identifizierten Angriffsvektor, denn die Spuren der Angreifer sind auch in Netzen aufgetaucht, in denen die betroffene Orion-Suite von Solarwinds gar nicht im Einsatz war. Diese Spuren führen zu digitalen Zertifikaten für die Sicherheits- und Authentifizierungsprotokolle der Azure-Cloud von Microsoft. Das Unternehmen hatte schon relatіv bald eine Kompromittierung seiner Netze einräumen und zuletzt bekanntgeben müssen, dass Angreifer bis nahe zu den Kronjuwelen vorgedrungen waren, nämlich zu den Quellcodes der Software, die bei der Verwaltung der Azure-Cloud zum Einsatz kommt.

Wenn sich bestätigen sollte, dass am Zertifizierungsprozess für den Quellcode der Azure-Cloud manipuliert wurde, erhielte der Fall eine völlig neue Dimension, denn mit 18 Prozent Weltmarktanteil ist Microsoft zweitgrößter Anbieter im globalen Cloudgeschäft hinter Amazon. Das ohnehin schon unübersichtlich große Bedrohungsszenario würde dadurch noch erweitert und ebenso, wenn sich ein weiterer Verdacht bestätigt, dem das FBI gerade nachgeht. Das einer breiteren Öffentlichkeit kaum bekannte Unternehmen JetBrains aus der tschechischen Republik, dessen Software-Distributionssystem TeamCity von 80 Prozent der Top 100 US-Fіrmen verwendet wird, soll ebenfalls kompromittiert worden sein.

Angriffskaskade in der Lieferkette

Wie Microsoft dementiert auch JetBrains eine Kompromittierung seiner Software. Während es allerdings schon einige Indizien gibt, die auf Microsoft verweisen, liegen auch Wochen nach den ersten Agenturmeldungen überhaupt keine technischen Fakten vor, die auf eine Kompromittierung der Software von JetBrains hindeuten. Das Unternehmen selbst rätselt nach wie vor, wie man so unter Verdacht geraten konnte. Die Annahme liegt mittlerweile nahe, dass allein die Tatsache, dass ein JetBrains- Produkt von den Entwicklern der SolarWinds-Software verwendet wird und JetBrains auch ein Büro in Russland unterhält, dafür den Ausschlag gaben. Die Standardfrage nach jedem Großangriff im Cyberraum - wieviel und welche IT-Systeme betroffen oder akut gefährdet sind, ist mittlerweile eher umgekehrt zu stellen, nämlich, wieviele große Netze dadurch nicht betroffen sind. Es ist ein kaskadierender Angriff, der mit der Infiltration einer Lieferkette begann, nämlich der Software-Produktion von SolarWinds.

Die mit Malware verseuchten Software-Updates der Firma wurden über deren Distributionsnetz in den Netzwerken der Kunden regulär installiert, so eben auch bei Microsoft. Da die Zugangsdaten für den Auslieferungsserver der Software-Updates vor dem Angriff monatelang im Klartetxt auf Github verfügbar waren, konnten die „Kuschelbären“ (siehe unten) bequem überprüfen, ob ihre eigeschmuggelte Hintertür auch tatsächlich in den aktuellen Updates enthalten war. Wie sie den Build-Prozess, in dem die Codes der einzelnen (regulären) Programmierer zusammengeführt werden, infiltriert hatten, ist bis dato nicht bekannt.

Elitetruppe Kuschelbär

Die Angreifer sind mit an Sicherheit grenzender Wahrscheinlichkeit APT 29, alias Cozy Bear (Kuschelbär) - so das einhellige Urteil der Sicherheitsbranche - eine ganz auf fortgeschrittene elektronische Nachrichtenaufklärung, also auf Netzwerkspionage ausgerichtete Einheit des russischen Auslandsgeheimdienstes SVR. APT 29 ist das Gegenstück zu NSA-Abteilungen wie der Equation Group, das von Edward Snowden ans Licht gebrachte Konvolut zeigt ziemlich klar, was solche Einheiten unter „Network Intelligence“ verstehen und welche Methoden angewendet werden. Angriffe von NSA und GCHQ auf Lieferketten werden da ganz selbstverständlich als Instrumente zur Nachrichtenaufklärung geschildert.

Folgerichtig wird auch dieser Fall in den USA offiziellerseits als Spionageakt eingestuft.Es bleibt auch nicht viel anderes übrig, denn bis jetzt wurden weder Steuerungssysteme für Kraftwerke, Raffinerien oder andere Produktionsanlagen angegriffen, noch gab es mutwillige Zerstörungen. Eine hochklassige Truppe wie Cozy Bear hätte ihre multiple Präsenz in den Netzwerken von Ministerien, Regierung und Behörden auch nützen können, um diese Netze gleichzeitig zu verschlüsseln. An den Maßstäben der USA gemessen haben diese Kuschelbären mit diesem Angriff also keine roten Linien überschritten, auch wenn dieser Angriff durch seine schiere Dimension eine Qualität angenommen hat, die weit über einen reinen Spionageangriff hinausgeht.

Was an vorläufigen Erkenntnissen vorliegt

Die Angreifer legten deutlich höheren Wert auf eine möglichst breite Eskalierung des Angriffs, als auf eine verdeckte und persistente Spionagekampagne. Hätte man (nur) das im Sinn gehabt, wäre bei weitem nicht so breit gleichzeitig skaliert worden, denn damit steigt das Risiko, aufzufliegen in lichte Höhen. Die Firma FireEye wäre gar nicht angegriffen worden, da sie als verlängerter Arm der NSA im Defensivbereich und härtester Gegner aller russischen APT-Gruppen gilt. Dort wurde nicht nur spioniert, vielmehr hatten die Kuschelbären auch die Red-Team-Tools des Unternehmens mitgenommen. Das ist eine digitale Werkzeug- und Materialkiste, wie sie etwa Penetrationstester verwenden, um durch simulierte Angriffe die Netzwerksicherheit zu testen.

Da FireEye damit rechnen musste, dass diese Software-Tools öffentlich gemacht oder gar in eine Cyberwaffe eingebaut wurden, sah sich die Firma gezwungen, ihr gesamtes Arsenal in einer demütigenden Offenlegungsaktion öffentlich zu „verbrennen“. All das geschah vor den Augen der NSA, die solche Angriffe eigentlich abwehren sollte. Man sieht also, dass den Angreifern die psychologischen Auswirkungen dieses Angriffs weit wichtiger waren als Spionage. Allerdings ist da noch eine gewaltige, strategische Komponente mit im Spiel. Die Kuschelbären hatten alle Zeit der Welt, in Netzwerken von besonderem Interesse unauffällige Implants verdeckt zu deponieren, um zu einem Zeitpunkt ihrer Wahl zurückzukehren.