Wie russische Hacker monatelang unbemerkt die US-Regierung infiltrierten

Das Finanzministerium in Washington, DC.

Das Finanzministerium in Washington, DC.Das US-Finanzministerium' von *rboed* ist lizenziert unter CC BY 2.0

Tausende von Unternehmen und Regierungen versuchen herauszufinden, ob sie von den russischen Hackern angegriffen wurden, die Berichten zufolge mehrere US-Regierungsbehörden infiltriert haben. Der anfängliche Bruch, gemeldet Am 13. Dezember gehörten das Finanzministerium sowie das Handelsministerium und das Heimatschutzministerium dazu. Aber die heimlichen Techniken, die die Hacker verwendeten, bedeuten, dass es Monate dauern kann, alle ihre Opfer zu identifizieren und die von ihnen installierte Spyware zu entfernen.

Um den Einbruch durchzuführen, brachen die Hacker zunächst in die Systeme von SolarWinds, einem amerikanischen Softwareunternehmen, ein. Dort fügten sie eine Hintertür in Orion ein, eines der Produkte des Unternehmens, das Organisationen verwenden, um riesige interne Computernetzwerke zu sehen und zu verwalten. Mehrere Wochen lang, beginnend im März, lud jeder Client, der auf die neueste Version von Orion aktualisierte – digital signiert von SolarWinds und daher scheinbar legitim – unwissentlich die kompromittierte Software herunter und verschaffte den Hackern einen Weg in ihre Systeme.



SolarWinds hat rund 300.000 Kunden auf der ganzen Welt, darunter die meisten Fortune 500 und viele Regierungen. In einem neuen Einreichung Zusammen mit der Securities and Exchange Commission sagte das Unternehmen, dass weniger als 18.000 Organisationen jemals das kompromittierte Update heruntergeladen haben. (SolarWinds sagte, es sei noch nicht klar, wie viele dieser Systeme tatsächlich gehackt wurden.) Die übliche Cybersicherheitspraxis besteht darin, Ihre Software auf dem neuesten Stand zu halten – also waren die meisten SolarWinds-Kunden ironischerweise geschützt, weil sie diesen Rat nicht befolgt hatten.

Die Hacker seien extrem schlau und strategisch vorgegangen, sagt Greg Touhill, ein ehemaliger Bundesbeauftragter für Informationssicherheit. Selbst nachdem sie sich durch die Hintertür in Orion, bekannt als Sunburst, Zugang verschafft hatten, bewegten sie sich langsam und bedächtig. Anstatt viele Systeme auf einmal zu infiltrieren, was leicht Verdacht erregen könnte, konzentrierten sie sich laut a auf eine kleine Gruppe ausgewählter Ziele Prüfbericht von der Sicherheitsfirma FireEye.

Laut dem Bericht blieb Sunburst bis zu zwei volle Wochen ruhig, bevor es aufwachte und begann, mit den Hackern zu kommunizieren. Die Malware tarnt ihren Netzwerkverkehr als das „Orion Improvement Program“ und speichert Daten in legitimen Dateien, um sich besser einzufügen. Sie sucht außerdem nach Sicherheits- und Antivirus-Tools auf dem infizierten Computer, um sie zu vermeiden.

Um ihre Spuren weiter zu verwischen, achteten die Hacker darauf, Computer und Netzwerke nur einmal zu verwenden, um mit der Hintertür an einem bestimmten Ziel zu kommunizieren – das Äquivalent zur Verwendung eines Burner-Telefons für ein illegales Gespräch. Sie nutzten Malware nur begrenzt, weil sie relativ leicht zu erkennen ist; Sobald sie den ersten Zugriff durch die Hintertür hatten, entschieden sie sich stattdessen für den ruhigeren Weg, echte gestohlene Anmeldeinformationen zu verwenden, um sich Fernzugriff auf die Computer eines Opfers zu verschaffen. Und die Malware, die sie bereitgestellt haben, verwendet Code nicht wieder, was die Spionage schwieriger zu fangen machte, weil Sicherheitsprogramme nach Code jagen, der in früheren Hacks aufgetaucht ist.

Monate unentdeckt

Laut Sicherheitsberichten von Microsoft und FireEye, die einen Zusammenhang preisgaben, gehen die Anzeichen der Einbruchskampagne auf den März zurück Verstoß seiner eigenen Netzwerke erst letzte Woche. Das bedeutet, dass jede Organisation, die vermutet, dass es sich um ein Ziel gehandelt haben könnte, jetzt Systemprotokolle von mindestens 10 Monaten nach verdächtigen Aktivitäten durchsuchen muss – eine Aufgabe, die die Kapazität vieler Sicherheitsteams übersteigt.

Die russischen Hacker, die sich 2016 einmischten, wurden dabei entdeckt, wie sie die US-Wahlen 2020 ins Visier nahmen Russland, China und der Iran wurden bei der Durchführung von Cyberspionage im Zusammenhang mit dem US-Präsidentschaftswahlkampf erwischt.

Um Organisationen dabei zu helfen, herauszufinden, ob ihre Systeme gehackt wurden, haben FireEye und Microsoft eine lange Liste von Indikatoren für Kompromittierungen veröffentlicht – forensische Daten, die Hinweise auf böswillige Aktivitäten liefern könnten. Zu den Indikatoren gehören das Vorhandensein von Sunburst selbst sowie einige der IP-Adressen, die die Computer und Netzwerke identifizieren, über die die Hacker mit Sunburst kommunizierten. Wenn ein Team eine dieser IP-Adressen in seinen Netzwerkprotokollen findet, ist dies ein echtes Zeichen für schlechte Nachrichten. Da die Hacker jedoch jede Adresse nur einmal verwendet haben, ist ihre Abwesenheit keine Garantie für Sicherheit. Die Entdeckung, dass sie sich in einem Netzwerk aufhalten, bedeutet auch nicht, dass es einfach ist, sie erfolgreich zu vertreiben, da sie das Netzwerk nach neuen Verstecken durchsuchen können.

Die mutmaßlichen Hacker stammen vom russischen SVR, dem wichtigsten Auslandsgeheimdienst des Landes. Sie sind abwechselnd als Cozy Bear und APT29 bekannt und haben eine lange Liste von Verstößen zusammengestellt, darunter die hacken des Demokratischen Nationalkomitees im Jahr 2016. Russland bestreitet eine Beteiligung.

Es hat ihnen die Möglichkeit gegeben, in große Netzwerke einzudringen, sagt Touhill, der jetzt Präsident der Appgate Federal Group ist, einem Unternehmen für sichere Infrastrukturen. Sie haben die Fähigkeit, dort zu sitzen, den ganzen Datenverkehr aufzusaugen und ihn zu analysieren. Wir müssen genau darauf achten, was diese Schauspieler sonst noch suchen? Wo könnten sie sonst sein? Wo könnten sie sonst noch lauern? Wenn sie Zugang haben, geben sie ihn nicht so leicht auf.

verbergen