Führte die Schwachstelle im Produkt Microsoft Exchange zum verheerenden Pipeline-Ausfall?

Am 2. März 2021 warnte Microsoft vor einer schwerwiegenden Schwachstelle im seinem E-Mail-Serverprodukt (Exchange Server). Ich habe dazu in meinem 26. Blog berichtet. Gemäss ersten Analysen hatte Colonial Pipeline diese Schwachstelle bis am 7. Mai, als die Firma angegriffen wurde, nicht behoben.

Am 7. Mai musste Colonial Pipeline wegen eines Cyberangriffs eine der wichtigsten Ölleitungen der USA stilllegen. Offenbar hatte Colonial Pipeline elementare Sicherheitsmassnahmen unterlassen. Im Folgenden gehe ich auf die wichtigsten Sicherheitsmängel ein:

«Defense-in-Depth» stellt einen mehrschichtigen Ansatz dar, um die Abwehrkraft gegenüber Cyberangriffen zu stärken (siehe dazu auch der IKT-Minimalstandard des Bundes). Nach diesem Ansatz wird mit verschiedenen psychologischen, organisatorischen und personellen Massnahmen ein optimales und nicht ein maximales Sicherheitsniveau angestrebt.

«Defense-in-Depth» im Fall von Colonial Pipeline

Im Fall von Colonial Pipeline hätte dieser mehrschichtige Ansatz wie folgt ausgesehen:

Die Mitarbeitenden hätten dahingehend sensibilisiert werden sollen, dass sie Dateianhänge in E-Mails nicht öffnen.
Die Schwachstelle im E-Mail-Serverprodukt von Microsoft hätte bereits im März behoben werden müssen.
Kritische Übergänge zwischen Systemen hätten durch eine Zwei-Faktoren-Authentifikation geschützt werden müssen, um eine Ausbreitung der Schadsoftware auf kritische Systeme zu verhindern.
Das Notfallmanagement hätte regelmässig auf seine Tauglichkeit hin überprüft werden müssen.

Offenbar hat Colonial Pipeline keine dieser Massnahmen umgesetzt. Hätte nämlich auch nur eine dieser Massnahmen gewirkt, hätte es wahrscheinlich keinen Ausfall der Pipeline gegeben. So aber konnte die Schadsoftware zum Fakturierungsprogramm der Firma gelangen und dort alle Daten verschlüsseln.

Colonial Pipeline war von diesem Zeitpunkt an nicht mehr in der Lage, erbrachte Leistungen zu messen und zu fakturieren und legte die Pipeline deshalb still. Die Ölpumpen selber waren vom Angriff nicht direkt betroffen.

Nachtrag vom 8. Juni 2021

Für das Eindringen in das Datennetz von Colonial Pipeline mussten die Angreifer nur 1 Passwort einer veralteten VPN-Verbindung knacken. Dies ergaben die Untersuchungen durch den amerikanischen Staat.

Der Wirtschaftszweig von «Ramsomware as a Service»

Der Angreifer DarkSide hat sich auf «Ransomware as a Service» spezialisiert. Das bedeutet, dass Interessierte einen Angriff bei DarkSide buchen können. Brian Krebs hat Informationen über DarkSide beschafft und festgestellt, dass das Unternehmen seit ca. einem Jahr Spezialisten anstellte und Werkzeuge beschaffte, um diesen Wirtschaftszweig aufzubauen.

Um an einem Angriff möglichst viel Geld zu verdienen, verschlüsselt DarkSide nicht nur die Daten des Opfers, sondern kopiert diese auch, um sie bei Bedarf zu veröffentlichen. So kann DarkSide zuerst mit der Entschlüsselung Geld verdienen, anschliessend wird mit der Veröffentlichung von Unterlagen gedroht, um nochmals Lösegeld zu erpressen.

DarkSide versucht wie viele ähnliche Unternehmen, sich ein ethisches Image zu geben (Quelle Twitter/DarkTracer : DarkWeb Criminal Intelligence):

Das Bild zeigt die Verlautbarung von DarkSide, dass sie ethisch handeln

Tatsächlich sind keine Angriffe von DarkSide auf Spitäler oder öffentliche Einrichtungen bekannt. Es ist wahrscheinlich, dass DarkSide vom durchschlagenden Erfolg seines Angriffs auf Colonial Pipeline selber überrascht war und den Unterbruch der Pipeline nicht erwartet hatte.

Wie kann man sich vor solchen Angriffen schützen? Eine erwartete und eine überraschende Antwort.

Die erwartete Antwort:

Die Anwendung der elementaren Sicherheitsmassnahmen und der Anwendung einer Defense-in-Depth-Strategie machen es einem Angreifer schwer, zu den wertvollen Systemen eines Unternehmens vorzudringen. Da es bei solchen Angriffen immer um wirtschaftliche Überlegungen geht, lässt ein Angreifer in solchen Fällen relativ schnell von seinem Opfer ab.

Die überraschende Antwort:

Oftmals wollen die Angreifer Unternehmen aus dem eigenen Kulturkreis schonen. DarkSide ist im russischen Umfeld angesiedelt und hat deshalb bei einigen seiner Werkzeuge (aber nicht bei allen) eine Regel eingebaut, damit Systeme mit kyrillischen Standardeinstellungen nicht infiziert werden. Im konkreten Fall reicht es aus, die kyrillische Tastatur zu installieren, auch wenn diese nicht verwendet wird.

Das Bild zeigt den Tweed von Brian Krebs

Fazit:

In der Regel reichen wenige Sicherheitsmassnahmen aus, um die Hürden für die Angreifer ausreichend gross zu gestalten, dass sich ein Angriff nicht rechnet.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).