Die Wiederherstellung nach dem SolarWinds-Hack könnte 18 Monate dauern

Blick auf das US-Kapitol

Jorge Acala/Unsplash





Die vollständige Erholung von dem SolarWinds-Hack wird die US-Regierung laut dem Leiter der Agentur, die Washingtons Erholung leitet, zwischen einem Jahr und 18 Monaten brauchen.

Die Hacking-Kampagne gegen amerikanische Regierungsbehörden und Großunternehmen wurde erstmals im November 2020 aufgedeckt. Mindestens neun Bundesbehörden wurden ins Visier genommen, darunter das Department of Homeland Security und das State Department. Die Angreifer, von denen US-Beamte glauben, dass sie Russen sind, nutzten ein Produkt des US-Softwareunternehmens SolarWinds aus, um Regierungs- und Unternehmensziele zu hacken.

Brandon Wales, der amtierende Direktor von CISA, der US-Behörde für Cybersicherheit und Infrastruktur, sagt, dass es bis weit ins Jahr 2022 dauern wird, bis Beamte die kompromittierten Regierungsnetzwerke vollständig gesichert haben. Selbst das vollständige Verständnis des Ausmaßes des Schadens wird Monate dauern.



Ich würde das nicht einfach nennen, sagt Wales. Es gibt zwei Phasen für die Reaktion auf diesen Vorfall. Es gibt die kurzfristige Behebungsmaßnahme, bei der wir versuchen, den Angreifer aus dem Netzwerk zu entfernen, von ihm kontrollierte Konten zu schließen und Zugangspunkte zu schließen, die der Angreifer für den Zugriff auf Netzwerke verwendet hat. Aber angesichts der Zeit, die sie in diesen Netzwerken verbracht haben – Monate –, wird eine strategische Wiederherstellung Zeit brauchen.

„Angesichts der Zeit, die sie sich in diesen Netzwerken aufgehalten haben … wird eine strategische Wiederherstellung einige Zeit in Anspruch nehmen.“

Brandon Wales, CISA

Wenn die Hacker so gründlich und so lange erfolgreich waren, kann die Antwort manchmal ein kompletter Neuaufbau von Grund auf sein. Die Hacker legten Wert darauf, das Vertrauen in gezielte Netzwerke zu untergraben, Identitäten zu stehlen und sich die Möglichkeit zu verschaffen, scheinbar legitime Benutzer zu imitieren oder zu erstellen, um frei auf die Microsoft 365- und Azure-Konten der Opfer zuzugreifen. Indem sie die Kontrolle über Vertrauen und Identität übernehmen, werden die Hacker viel schwerer zu verfolgen.



Die meisten Behörden, die dieses Niveau des Wiederaufbaus durchlaufen, werden etwa 12 bis 18 Monate benötigen, um sicherzustellen, dass sie die angemessenen Schutzmaßnahmen ergreifen, sagt Wales.

Amerikanische Geheimdienste sagen, dass russische Hacker erstmals im Jahr 2019 infiltriert wurden. Nachfolgende Untersuchungen haben gezeigt, dass die Hacker im März 2020 damit begannen, die Produkte des Unternehmens zur Verbreitung von Malware zu verwenden, und ihr erster erfolgreicher Verstoß gegen die US-Bundesregierung erfolgte im Frühsommer. Das ist eine lange Zeit, um unbemerkt zu bleiben – länger, als viele Organisationen die Art von teuren forensischen Protokollen aufbewahren, die Sie benötigen, um die erforderlichen Untersuchungen durchzuführen, um die Hacker aufzuspüren.

SolarWinds Orion, das anvisierte Produkt zur Netzwerkverwaltung, wird in Zehntausenden von Unternehmen und Regierungsbehörden eingesetzt. Über 17.000 Organisationen haben die infizierte Hintertür heruntergeladen. Die Hacker waren außerordentlich verstohlen und zielgerichtet, weshalb es so lange gedauert hat, sie zu fangen – und warum es so lange dauert, ihre volle Wirkung zu verstehen.



Die Schwierigkeit, das Ausmaß des Schadens aufzudecken, wurde letzte Woche von Brad Smith, dem Präsidenten von Microsoft, in einer Kongressanhörung zusammengefasst.

Wer weiß alles, was hier passiert ist? er sagte. Im Moment ist der Angreifer der einzige, der weiß, was er getan hat.

Kevin Mandia, CEO des Sicherheitsunternehmens FireEye, das die ersten Warnungen vor dem Angriff auslöste, sagte dem Kongress, dass die Hacker der Tarnung Vorrang vor allem anderen einräumten.



Störungen wären einfacher gewesen als das, was sie getan haben, sagte er. Sie hatten konzentrierten, disziplinierten Datendiebstahl. Es ist einfacher, bei einem Trauma mit stumpfer Gewalt einfach alles zu löschen und zu sehen, was passiert. Sie haben tatsächlich mehr Arbeit geleistet, als nötig gewesen wäre, um destruktiv zu werden.

'Das hat einen Silberstreif am Horizont'

CISA hörte zum ersten Mal von einem Problem, als FireEye entdeckte, dass es gehackt worden war, und die Behörde benachrichtigte. Das Unternehmen arbeitet regelmäßig eng mit der US-Regierung zusammen, und obwohl es gesetzlich nicht verpflichtet war, irgendjemanden über den Hack zu informieren, teilte es die Nachricht von der Kompromittierung schnell mit sensiblen Unternehmensnetzwerken.

Es war Microsoft, das der US-Regierung mitteilte, dass Bundesnetze kompromittiert worden seien. Das Unternehmen teilte diese Informationen am 11. Dezember mit Wales, sagte er in einem Interview. Microsoft beobachtete, wie Hacker in die Microsoft 365-Cloud eindrangen, die von vielen Regierungsbehörden verwendet wird. Einen Tag später informierte FireEye CISA über die Hintertür in SolarWinds, einem wenig bekannten, aber äußerst weit verbreiteten und leistungsstarken Tool.

Dies signalisierte, dass das Ausmaß des Hacks enorm sein könnte. Die Ermittler von CISA arbeiteten schließlich die ganzen Feiertage hindurch, um Behörden bei der Suche nach Hackern in ihren Netzwerken zu helfen.

Diese Bemühungen wurden noch komplizierter, weil Wales die Agentur gerade erst übernommen hatte: Tage zuvor war der ehemalige Direktor Chris Krebs von Donald Trump gefeuert worden, weil er wiederholt Desinformationen des Weißen Hauses über eine gestohlene Wahl entlarvt hatte.

Nachdem Trump den CISA-Direktor gefeuert hat, ist die Agentur bereit, noch mächtiger zu werden Eine dramatische Entlassung per Tweet ändert wenig an der überparteilichen Unterstützung, um sie zur führenden Cybersicherheitsbehörde des Landes zu machen.

Während sich die Schlagzeilen über die Entlassung von Krebs auf die unmittelbaren Auswirkungen auf die Wahlsicherheit konzentrierten, hatte Wales viel mehr zu tun.

Der neue Verantwortliche bei CISA sieht sich nun mit dem konfrontiert, was er als den komplexesten und herausforderndsten Hacking-Vorfall bezeichnet, mit dem die Behörde konfrontiert war.

Der Hack wird mit ziemlicher Sicherheit den bereits sichtbaren Aufstieg von CISA beschleunigen durch die Erhöhung ihrer Finanzierung, Autorität und Unterstützung.

Der CISA wurde kürzlich die rechtliche Befugnis erteilt, in der gesamten Bundesregierung beharrlich nach Cyber-Bedrohungen zu suchen, aber Wales sagt, dass der Behörde die Ressourcen und das Personal fehlen, um diese Mission auszuführen. Er argumentiert, dass CISA auch in der Lage sein muss, Endpunkterkennungssysteme auf Computern in der gesamten Bundesregierung bereitzustellen und zu verwalten, um böswilliges Verhalten zu erkennen. Schließlich weist Wales darauf hin, dass sich die Hacker frei in der Microsoft 365-Cloud bewegt haben, und sagt, dass CISA auf mehr Transparenz in der Cloud-Umgebung drängen muss, um Cyberspionage in Zukunft zu erkennen.

Im letzten Jahr haben Unterstützer von CISA darauf gedrängt, dass es die führende Cybersicherheitsbehörde der Nation wird. Eine beispiellose Cybersicherheitskatastrophe könnte sich als der Katalysator erweisen, den sie braucht.

Dies hat einen Silberstreif am Horizont, sagte Mark Montgomery, der als Exekutivdirektor der Cyberspace Solarium Commission fungierte, in einem Telefonat. Dies ist eine der bedeutendsten böswilligen Cyber-Aktionen, die jemals gegen die US-Regierung durchgeführt wurden. Die Geschichte wird sich noch einige Monate lang verschlechtern, wenn mehr Verständnis für das, was passiert ist, enthüllt wird. Das wird dazu beitragen, die neue Verwaltung auf dieses Thema zu konzentrieren. Sie haben viele Prioritäten, so dass es für Cyber ​​​​leicht wäre, sich in der Unordnung zu verlieren. Das wird jetzt nicht passieren.

verbergen