Sunburst: ein Pearl Harbor Cyber?

(Di Ciro Metaggiata)
21/12/20

In ein paar Jahren, wenn die derzeitige schreckliche Pandemie endlich unter Kontrolle ist, wird das Jahr 2020 nicht nur wegen der Explosion der COVID-19-Infektion und ihrer schlimmen Folgen in Erinnerung bleiben, sondern wahrscheinlich auch einen Meilenstein für Wissenschaftler und auch für Fachleute darstellen (was die Neugierigen wie mich betrifft) der Cyber-Dimension und folgt einer Geschichte, die die Konturen eines der Skrupellosesten annimmt Spionagegeschichte Allzeithit. Gemeint ist der Cyberangriff auf das US-amerikanische IT-Unternehmen SolarWinds, deren weltweit verbreitete Produkte als „Trojanische Pferde“ eingesetzt wurden, um in die Netzwerke und Systeme von Unternehmen und Regierungsbehörden auf der ganzen Welt einzudringen, den eigentlichen Zielen der Spionageaktivitäten.

Im Fachjargon nennt man diese Angriffsart „Supply-Chain-Cyber-Angriff“ und in Wirklichkeit verbergen sich hinter diesen hochtönenden und scheinbar komplexen Begriffen moderne Spielarten längst existierender Spionagetechniken: Die Sicherheit des Ziels erfolgt indirekt kompromittiert und greift die zugehörige „Logistikkette“ an, d. h. eine Ware oder Dienstleistung, die rechtmäßig von einem Dritten (normalerweise einem Unternehmen) bereitgestellt wird. Im Cyber-Bereich handelt es sich dabei um IT-Güter oder -Dienstleistungen, auf die heute kein Unternehmen und keine staatliche Stelle mehr verzichten kann, um ihre Aufgaben zu erfüllen.

Ein markantes Beispiel für diese Art von Cyberangriff ist die Operation, die die National Security Agency laut dem ehemaligen Mitarbeiter Edward Snowden jahrelang durchgeführt hätte, indem sie dafür gesorgt hätte, dass von einem führenden Unternehmen hergestellte Netzwerkgeräte speziell modifiziert auf den Markt gebracht würden durch die Agentur, um die gesamte von diesen Systemen verarbeitete Kommunikation abfangen und weiterleiten zu können. Oder die unglaubliche Geschichte von Krypto AG (v.articolo), ein in der Schweiz ansässiges Unternehmen, das Chiffriermaschinen sowohl an NATO- als auch an Nicht-Allianz-Länder (für insgesamt 130 Regierungen!) hergestellt und vertrieben hat, wurde ebenfalls geändert, um den USA und Deutschland das Abfangen geheimer Kommunikation von „befreundeten“ und gegnerischen Ländern zu ermöglichen seit über 50 Jahren!

Zum Schluss noch ein Beispiel dafür Cyber-Angriff auf die Lieferkette è costituito da NotPetya, eine verheerende Malware, die 2017 in das Update einer in der Ukraine sehr beliebten Unternehmensverwaltungssoftware „geimpft“ wurde (v.articolo). Wenn es in dieser Hinsicht zutrifft, dass es wahrscheinlich nie möglich sein wird, die tatsächlichen Auswirkungen dieser Operationen zu quantifizieren, ist es sicher, dass dies angesichts der hohen Anzahl der beteiligten Ziele und der Dauer der durchgeführten Angriffsaktivitäten in jedem Fall der Fall ist Dabei wird eine enorme Menge an Informationen abgefangen oder zerstört, was die Sicherheit der Opfer erheblich schädigt. Das gleiche Szenario zeichnet sich auch für den Angriff auf ab SolarWinds da sie Details filtern (offensichtlich diejenigen, die bekannt werden wollender laufenden Ermittlungen.

Könnte es sich um das Cyber-Äquivalent des Angriffs auf den Marinestützpunkt Pearl Harbor im Jahr 1941 handeln, also um einen feindlichen Akt, der so groß ist und so schwerwiegende Folgen hat, dass er eine beispiellose Reaktion erfordert, die sich vielleicht nicht nur in der Cyber-Dimension entwickelt? Was wird jetzt passieren?

Gehen wir der Reihe nach vor. Vor ein paar Tagen das Unternehmen FireEye, ein führendes Unternehmen im Bereich Cybersicherheit, gab bekannt, dass es Opfer eines schweren Cyberangriffs geworden sei, der unter anderem die Exfiltration einiger Software ermöglicht hätte, die zur Durchführung von Sicherheitstests im Auftrag seiner Kunden entwickelt wurde (v.articolo). Insbesondere wurde bekannt, dass dieser Angriff mithilfe eines Updates des Orion-Systems durchgeführt wurde SolarWinds kunstvoll kompromittiert, d. h. scheinbar „echt“, in Wirklichkeit jedoch modifiziert, um das Eindringen in FireEye-Systeme und -Netzwerke zu ermöglichen. Sobald dieses Detail des Angriffs bekannt wurde, hat es den Horizont der Ermittlungen auf alle anderen Unternehmen und staatlichen Stellen ausgeweitet, die dieselben Dienste in Anspruch nehmen SolarWinds, Ziele, die seit letztem März betroffen sein könnten, dem Zeitraum, in dem die Verbreitung des betreffenden betrügerischen Updates zurückreicht.

Die Liste der Opfer wird auf der Grundlage der laufenden Analysen der gesammelten Beweise von Stunde zu Stunde erweitert und umfasst mittlerweile Tausende von öffentlichen und privaten Personen, die weltweit verteilt sind (wir sprechen von über 17.000 Opfern), in den meisten Fällen jedoch in den USA konzentriert. Versuchen Sie daher, eine aktuelle Liste bereitzustellen, nehmen Sie sich Zeit. Ohne Angst vor Widersprüchen kann jedoch festgestellt werden, dass es sich in vielen Fällen um staatliche Stellen handelt, die sogar wichtigen Sektoren angehören (wie zum Beispiel das US-Energieministerium) und weltweit führende Unternehmen sind, die ihrerseits Sie bieten Produkte und Dienstleistungen an. Insbesondere nachdem ihre Orion-Systeme mit der geänderten Software aktualisiert wurden, konnte der Angreifer in die Netzwerke der Ziele eindringen und in vielen Fällen die Kontrolle über sie übernehmen und weitere Angriffe starten, indem er die „Lücke“ in den Verteidigungssystemen der anderen Personen ausnutzte .

Über die so gestohlenen Daten und die weiteren Folgen der Angriffe liegen derzeit noch keine Erkenntnisse vor, da besonders ausgefeilte Techniken eingesetzt wurden, um die Ermittlungen abzulenken (im Fachjargon „Indizien zu verschleiern“). Man geht davon aus, dass dieses Detail zusammen mit den Programmiertechniken, die verwendet wurden, um das kompromittierte SolarWinds-Update, das mittlerweile auf den Namen SUNBURST getauft wurde, wie ein Original aussehen zu lassen, Anzeichen dafür sind, dass der Angreifer über sehr hohe Fähigkeiten verfügt. Ja, wer steckt hinter dieser waghalsigen Operation?

Wie üblich erlauben die Ermittlungen keine sichere Zuordnung der Urheberschaft der Spionageaktion, es handelt sich jedoch sicherlich um eine Organisation, die über enorme Ressourcen (technisches Fachpersonal, Finanzierung, Planungspersonal, Infrastrukturen usw.) verfügt und im Besitz einer Regierung ist oder notwendigerweise von einer Nation gesponsert. Oder es könnte sich um eine kriminelle Gruppe handeln, die Dienstleistungen dem Meistbietenden anbietet und zum Anführer des Informationsschwarzmarkts in der Region geworden ist Dunkles web, die „dunkle Seite“ des Internets. Wer kann es sagen? Keine mit absoluter Sicherheit.

Einige Analysten und Mitglieder der aktuellen US-Regierung gehen davon aus, dass es sich dabei um die Hackergruppe handelt, die unter den Codenamen APT29, Cozy Bear, CozyCar, CozyDuke oder Office Monkeys bekannt ist und mit der angeblich eine Verbindung besteht Sluzhba Vneshnej Razvedki (SVR), der russische Auslandsgeheimdienst (der am 19. Dezember sein 100-jähriges Bestehen feierte) und der über einen besonders umfangreichen Lehrplan für anspruchsvolle Cyber-Operationen verfügen würde. Die Regierung der Russischen Föderation hat jedoch jegliche Beteiligung umgehend dementiert.

Die Ermittlungen haben gerade erst begonnen und wie fast immer in diesen Fällen wird es schwierig sein, genügend Beweise zu sammeln, um die Täter mit hinreichender Sicherheit zu identifizieren und sie strafrechtlich zu bestrafen. Es wird auch sehr schwierig sein, den Schaden zu beziffern, den die Opfer erlitten haben, und zu wissen, was mit den gestohlenen bzw. „kopierten“ Informationen passiert ist, ohne dass es jemand bemerkt. Letztendlich ist es nicht möglich, alle vom Angreifer während der etwa acht Monate dauernden „Permanenz“ in den Systemen und Netzwerken des Opfers durchgeführten Operationen vollständig zu rekonstruieren.

Dieses Szenario hat einige Beobachter zu einer beunruhigenden Schlussfolgerung veranlasst: Mit den Folgen dieses Angriffs werden wir uns über viele Monate oder Jahre auseinandersetzen müssen, da der Angreifer die Zielnetzwerke und -systeme möglicherweise mit anderer Malware übersät hat. Wenn es tatsächlich zutrifft, dass es sich um eine besonders erfahrene und effiziente Gruppe handelt, weisen die Analysten darauf hin, dass die Möglichkeit, dass die Operation entdeckt wurde, sicherlich im Voraus geplant war und sie daher glauben, dass alle darauf abzielenden Maßnahmen die Spionagekampagne fortsetzen , die Gegenmaßnahmen der Opfer vorwegnehmend.

Der letzte, vielleicht nur scheinbar zweitrangige Aspekt der Geschichte ist der finanzielle: SolarWinds ist ein börsennotiertes Unternehmen und ein solcher Angriff könnte sich für seinen Ruf und damit für seine Zukunft als fatal erweisen. Darüber hinaus scheint es diejenigen zu geben, denen es gelungen ist, von der ganzen Angelegenheit zu profitieren und mehr als nur verdächtige Marktbewegungen zu verursachen.

Zusammenfassend lässt sich sagen, dass wir uns jedes Jahr in diesem Zeitraum pünktlich auf diesen Seiten befinden, um das fertigzustellen Internet-Sicherheit, aus dem Szenarien mit immer düstereren Farben entstehen. Jedes Jahr wird die „Messlatte“ immer höher gelegt und nähert sich gefährlich der Schwelle des tatsächlichen Konflikts zwischen Staaten, und die technologischen Grenzen werden unweigerlich durchbrochen, was oft die Vorstellungskraft übersteigt. Während die Gesellschaft in diesem Zusammenhang einerseits zunehmend von der Cyber-Dimension abhängig wird, ist diese andererseits inzwischen zu einem völlig unregulierten Jagdrevier sowohl für Regierungen als auch für skrupellose kriminelle Gruppen geworden.

Die Beute dieser unerbittlichen Jagd sind Informationen, die in einer zunehmend vernetzten Welt den Schlüssel zur Beherrschung dieser Welt aus militärischer, finanzieller, wirtschaftlicher, wissenschaftlicher, technologischer oder politischer Sicht darstellen. Wer es noch nicht verstanden hat oder diese Realität nicht akzeptieren will, muss untergehen.

Fröhliches 2021!

Quellen

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...

https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...

https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...

https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...

https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...

https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/

Foto: NASA

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte