Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen

Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

[datensicherheit.de, 09.07.2021] Innerhalb eines halben Jahres hat sich, nach der „Sunburst“-Attacke auf Solarwinds, jetzt mit dem Angriff auf Kaseya offensichtlich bereits der zweite aufsehenerregende Supply-Chain-Schadensfall ereignet. Die Tatsache, dass dieser Angriff am Wochenende des 4. Juli (einem der wichtigsten Feiertage der USA) stattfand, spricht für ein sorgfältiges Kalkül der Täter. Ausgehend von der Anzahl parallel betroffener Unternehmen, ist diese Cyber-Attacke sicherlich eine der größten in der bisherigen Geschichte der IT-Security. „In der noch relativ seltenen, aber immer häufiger auftretenden Kategorie des ‚Supply-Chain-Angriffs‘ infiziert der Täter zunächst IT-Dienstleister. Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro, in seinem Kommentar zur Kaseya-Krise. Der Täter könne sich dann quasi unerkannt im System bewegen und das Opfer extrem schnell ausschalten. Supply-Chain-Angriffe seien im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“ – ihre Wirkung sei allerdings oft fatal.

Foto: Trend Micro

Richard Werner: Supply-Chain-Angriffe noch im Verhältnis selten, weil kompliziert und aufwändig – allerdings oft mit fataler Wirkung

Weltweit wohl etwa 1.500 Unternehmen vom Kaseya-Vorfall betroffen

Werner rekapituliert den Vorfall: „Am Wochenende des 4. Juli, dem Nationalfeiertag der USA, traf eine Cyber-Attacke den Service-Provider Kaseya und breitete sich rasch auf dessen Kunden und weitere Unternehmen aus. Laut der News-Plattform ,Bleepingcomputer‘ waren etwa 50 direkte Kunden des Anbieters betroffen, die als Service-Provider wiederum ihre Kunden infizierten.“
Weltweit, so die News-Agentur, seien wohl etwa 1.500 Unternehmen betroffen. Trend Micro könne zudem bestätigen, dass es auch in Deutschland Vorfälle gegeben habe. Werner führt aus: „Die Tatsache, dass der Angriff an einem der wichtigsten Feiertage der USA stattfand, ist kein Zufall, sondern sorgfältiges Kalkül der Täter – das aufging. Nicht nur, dass IT-Security-Teams an Wochenenden und Feiertagen grundsätzlich unterbesetzt sind, auch die Kommunikationsketten zu den betroffenen Kunden waren unterbrochen, so dass sich der Angriff vielfach ungehindert ausbreiten konnte.“

Auch Angriff auf Kaseya begann mit einer Sicherheitslücke

Gehe man von der Anzahl parallel betroffener Unternehmen aus, so sei diese Cyber-Attacke sicherlich eine der größten in der Geschichte der IT-Security. „Zerlegt man sie in ihre Einzelteile, so drängen sich allerdings viele Parallelen zu anderen Angriffen auf. Aus dem groben, sich wiederholenden Schema können Unternehmen für ihre Infrastruktur einige wissenswerte Lehren ziehen“, erläutert Werner:
Auffällig beim Kaseya-Fall sei, „dass eine Sicherheitslücke in der Software verwendet wurde, die zum Zeitpunkt der Tat dem Hersteller bekannt war und deren Schließung sich bereits in der Beta-Phase befand“. Den Angreifern sei demnach nicht mehr viel Zeit verblieben, um erfolgreich zu sein. Der Service-Provider sei über „responsible disclosure“ auf das Vorhandensein der Schwachstelle aufmerksam gemacht worden und habe an der Schließung gearbeitet. Ungewöhnlich sei der zeitliche Zusammenhang dennoch und lasse Raum für Interpretationen. „Zwar ist die Patch-Problematik in der IT-Security weit bekannt, jedoch sollten Unternehmen im Hinterkopf behalten, dass Angreifer nicht nur bei Microsoft oder anderen weit verbreiteten Software-Varianten nach Schwachstellen suchen, sondern auch in der Software von IT-Dienstleistern.“ Dabei stünden insbesondere in direkter Kommunikation mit mehreren Kundengeräten stehende Applikationen im Fokus. Werner rät: „Betreibt man eigene Softwareentwicklung, muss dieser Umstand ebenfalls Teil der Risikokalkulation sein.“

Besonderheiten eines Supply-Chain-Angriffs wie z.B. auf Kaseya

Der gesamte Vorfall lasse sich in die Kategorie „Supply-Chain-Angriff“ einordnen. In dieser noch relativ seltenen, aber immer häufiger auftretenden Kategorie infiziere der Täter zunächst IT-Dienstleister. „Diese sind deshalb so interessant, weil sie zu anderen Unternehmen stehende oder aktivierbare IT-Verbindungen unterhalten. Betroffen sind beispielsweise Update-Mechanismen, die direkt Aktualisierungen in fremden Systemen durchführen, aber auch Fernwartungssysteme, Auftragsverarbeitungen und Ähnliches.“ Dies habe zur Folge, dass die Täter in der Lage seien, eine Maschine, in der Regel einen Server, im Rechenzentrum des Opfers zu übernehmen. Im Gegensatz zu „klassischen“ Angriffen würden dabei die gesamte Netzwerksicherheit sowie client-basierte Sicherheitslösungen umgangen. „Übrig bleibt, was auf den Serversystemen aktiviert ist und die Kommunikationen zwischen Serversystemen überwacht.“
Gerade in On-Premises-Rechenzentren sei das sehr häufig veraltete Antivirus-Technologie. Zudem fehlten oft wichtige Sicherheitspatches – „für den Fall, dass es sich überhaupt um supportete Betriebssysteme handelt“. Dieser Umstand sorge dafür, dass der Täter das finale Opfer oft extrem schnell ausschalten und sich quasi unerkannt in Systemen bewegen könne. Je größer der initiale Schaden, desto besser für den Angreifer, da dadurch enormer Druck aufgebaut werden könne. Das spezielle Angebot von Kaseya habe den Kriminellen die Möglichkeit geboten, nicht nur direkt Unternehmen, sondern auch deren Kunden zu erreichen. Dies erkläre die im Verhältnis große Zahl der Opfer. Supply-Chain-Angriffe seien indes im Verhältnis selten, „weil sie für einen Angreifer kompliziert und mit hohem Aufwand verbunden sind“. Ihre Wirkung sei allerdings oft fatal, warnt Werner.

Unternehmen sollten ihre Lehren aus Kaseya-Attacke ziehen

Wichtig sei zu verstehen, dass es sich hier nicht um eine vorübergehende Welle handele. In der sich aktuell stark verändernden IT-Sicherheitslandschaft seien in vielen Fällen äußere Faktoren für die aktuelle Situation verantwortlich. Zu diesen zählten der Stellenwert der IT in Unternehmen, der allgemeine Umgang mit IT durch Mitarbeiter sowie das Aufkommen von „Bitcoin“. Während die ersten beiden dazu beitrügen, dass die IT und damit vor allem die IT-Security in Unternehmen immer komplexer und damit unübersichtlicher würden, habe das Entstehen von sogenannten Kryptowährungen tatsächlich den Cyber-Untergrund revolutioniert.
Dies erlaube den Protagonisten im Untergrund eine zunehmende Spezialisierung und den uneingeschränkten Handel untereinander. Werner stellt klar: „Alle drei Faktoren lassen sich nicht mehr umkehren.“ Die angesprochene Komplexität werde damit zunehmend zur Belastung der Verteidiger – was sowohl im übertragenem als auch im rein zwischenmenschlichen Miteinander für Probleme sorge. „Unternehmen müssen deshalb Ihre aktuelle Security-Strategie auf moderne Angriffstechniken prüfen. Das Beispiel von Kaseya kann dabei helfen“, unterstreicht Werner abschließend.

Weitere Informationen zum Thema:

blog.trendmicro.de
Supply Chain-Angriffe im Cloud Computing vermeiden

datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

TREND MICRO, 04.07.2021
IT Management Platform Kaseya Hit With Sodinokibi/REvil Ransomware Attack