Immer wieder liest man davon, dass Tape tot ist. Backup funktioniert auch in die Cloud, Hersteller bieten vermehrt festplattenbasierte Backup-Lösungen an und mit Technologien wie „Incremental Forever“ ist der Platzbedarf für Backups beherrschbar. Selbst bei der Archivierung setzen große Unternehmen, z.B. Facebook, vermehrt auf Festplatten. Warum auch nicht? Die Zugriffszeiten sind deutlich besser, die Lese- und Schreibraten können auch mit Tape mithalten.
Was ist passiert?
Eine weitverbreitete Verwaltungssoftware der Firma SolarWinds verteilte, wie oben bereits erwähnt, Updates, die mit einer Malware infiziert waren. Dabei handelte es sich um eine Backdoor-Funktionalität, die eine externe Kontrolle des Systems zuließ.
Für Angreifer dabei interessant: Ein solches Verwaltungssystem hat häufig sehr weitreichende Zugriffsrechte im Netzwerk, um alle zu verwaltenden Systeme ansteuern zu können. Damit kann man sich innerhalb des Netzwerks natürlich wunderbar umsehen und ausbreiten.
Das Interessante an dem „verseuchten“ Update: Es war korrekt signiert und somit völlig unscheinbar. Zudem kam es von den offiziellen Update-Servern des Herstellers. Das bedeutet, dass die „üblichen“ Empfehlungen nicht gegriffen hätten, denn dieses Update
- kam nicht aus einem seltsamen IP-Bereich,
- hatte die richtige Checksumme,
- war korrekt signiert und
- wäre auch von automatischen Update-Mechanismen der Lösung installiert worden.
Doch wie kam es dazu?
Der ursprüngliche Angriff auf SolarWinds
Der eigentliche Angriff erfolgte auf den Hersteller. Bei diesem wurde die Supply Chain angegriffen und eine Kernkomponente noch vor der Signierung ausgetauscht. Untersuchungen haben ergeben, dass die zugrundeliegende Infrastruktur nur unzureichend abgesichert war. Es wurden einfache Passwörter verwendet. Der eigentliche Angriff erfolgte, wie so häufig, per Social Engineering. Es ist daher unwahrscheinlich, dass zusätzliche Mechanismen wie Mehrfaktorauthentisierung (MFA) im Einsatz waren.
Also war auch hier wieder der Mensch das schwächste Glied der Sicherheitskette. Es wurden keine starken Passwörter verwendet, und die Mitarbeiter sind auf klassisches Social Engineering reingefallen. Hier zeigt sich wieder einmal, wie wichtig ausgereifte, effektive Prozesse im Bereich der IT-Sicherheit sind. Diese werden wahrscheinlich auch bei SolarWinds vorhanden sein, doch muss auch kontrolliert werden, dass diese Prozesse befolgt werden!
