Der Cyberangriff namens Sunburst vonseiten des ATP39-Hackergrupe liegt ja schon eine ganze Weile zurück (Mitte Dezember 2020). Und doch gibt es immer noch Fragen, mit denen ich mich heute ein wenig genauer beschäftigen will. Und natürlich auch mit der Frage, wie es dazu überhaupt kommen konnte und wie Unternehmen einen derartigen Angriff am besten verhindern können.
Zunächst einmal: Sunburst war von langer Hand vorbereitet, also das Werk von echten Profis. Das erkennt man unter anderem an der zeitlichen Abfolge der Cyberattacke, an der Vorgehensweise und den zahlreichen Angriffszielen. Und davon gibt es eine ganze Reihe.
Zeitliche Abfolge + Vorgehensweise: Verzögerungstaktik inklusive
Bereits Ende 2019/Anfang 2020 begann die russische Hackergruppe ATP29 (Kosename: Cozy Bear) damit, den Trojaner Sunburst in die Netzwerk-Management-Software Orion des IT-Software-Anbieters SolarWinds einzuschleusen. Besser gesagt, in einen Update-Patch, der bei den rund 18.000 installierten IT-Systemen aufgespielt werden sollte. Und zwar automatisch.
Das Perfide daran: Sunburst blieb bis zu seiner Aktivierung durch das Aktualisieren der Update-Software unentdeckt. Der Trojaner konnte in dieser Zeit seinen Angriff im Stillen vorbereiten, um einen größtmöglichen Schaden anzurichten. Denn erst Mitte Dezember 2020 entfaltete Sunburst seine volle Wirkung, und das bei zahlreichen Opfern auf der ganzen Welt.
Angriffsziele: US-Behörden, FireEye und Microsoft
Von Sunburst betroffen waren zahlreiche Unternehmen und Behörden. Dazu gehörte das amerikanische Finanz- und Außenministerium genauso wie das Pentagon und das amerikanische Energieministerium. Aber auch deutsche Bundesbehörden und Ministerien waren Zielscheibe der Malware, da sie ebenfalls die Admin-Software von SolarWinds einsetzen. Zu den prominenteren Opfern gehört unter anderem Microsoft, die zugeben mussten, dass Sunburst in den Besitz von Quellcode aus Redmond gelangt ist.
Zu den Angriffszielen gehörte aber auch ein Unternehmen, das sich mit dem Thema IT-Sicherheit intensiv beschäftigt, nämlich FireEye. Die nutzen nämlich selber die Management-Software von SolarWinds und wurden durch einen versteckten Hinweis auf die Existenz des Trojaners aufmerksam gemacht. Nur so wurde Sunburst überhaupt sichtbar. Andernfalls wäre der Trojaner möglicherweise erst noch viel später entdeckt worden.
SentinelOne-Kunden waren von Sunburst nicht betroffen
Doch es gibt sie, die Möglichkeiten zur Abwehr von Sunburst & Co. So waren nach eigenem Bekunden Kunden von SentinelOne zu keinem Zeitpunk vom Trojaner betroffen. Das lag unter anderem daran, dass das SOC-Team des Sicherheitsanbieters ihre Ansprechpartner mit den wichtigsten Infos zu Sunburst versorgten, und das innerhalb von 24 Stunden nach Bekanntwerden der Trojaner-Aktivitäten. Damit konnten die Sicherheitsverantwortlichen ihre Umgebungen gezielt nach möglichen IoCs (Indicator of Compromise) durchsuchen. Dabei kam letztlich heraus, dass weder SentinelOne-Kunden noch der Sicherheitsanbieter selbst infizierte Umgebungen feststellen konnten.
Das lag vor allem daran, dass der Sunburst-Trojaner die Existenz einer SentinelOne-Umgebung überprüft hat, bevor er sich aktivierte. Stellte er dabei fest, dass Abwehrmechanismen wie Singularity auf dem zu befallenden Netzwerk für den Schutz vor Cyberattacken sorgt, hat sich Sunburst entweder selbst deaktiviert oder erst gar nicht den Versuch unternommen, die Kontrolle über angreifbare Server zu übernehmen.
Eine weitere interessante Erkenntnis in diesem Kontext war die Einsicht, dass sich Threat Intelligence Services bei einer möglichen Abwehr und Entdeckung von Sunburst als nutzlos erwiesen. Das erklärt auch, warum etwa 420 der Fortune-500-Unternehmen infiziert wurden, ohne darüber in Kenntnis gesetzt zu werden. Denn diese Firmen nutzen traditionell immer noch Threat Intelligence-Dienste, obwohl diese vor allem bekannte Angriffe abwehren können, und weniger auf ein tatsächliches Verhalten in realen Umgebungen reagieren können. Und genau das ist der Kern und die Stärke der SentinelOne-Lösungen.