Hackergruppe "Nobelium"

Sorglosigkeit bei MSPs wird bestraft

Kommentar  von Peter Marwan
Kleine Gauner versuchen sich als Taschendiebe oder Trickdiebe. Große, gute organisierte Gaunerbanden rauben Banken aus. Bei Cyberkriminalität ist das nicht anders. Nur geraten nicht Banken, die das Geld vieler anderer Leute verwahren, ins Visier der Profigangster, sondern MSPs, die Zugänge zu vielen Kundensystemen haben.
Der Taschendieb sucht sich mühsam und mit ungewissen Erfolg Brieftaschen zusammen, der Bankräuber setzt da an, wo die Reichen ihr Geld sicher glauben. Eine vergleichbare Entwicklung vollzieht sich jetzt mit Supply-Chain-Angriffen auf IT-Dienstleister.
Foto: Denis Simonov - shutterstock.com

Diese Woche warnte Microsoft vor Aktivitäten der Hackergruppe "Nobelium". Die greife vor allem Dienstleister an, die Cloud-Dienste für andere Unternehmen einrichten und betreuen. Ganz neu ist diese Masche nicht: Hinter dem Angriff über Software von Solarwinds zur Jahreswende 2020/21 und dem Angriff über Kaseya VSA auf Managed Service Provider und ihre Kunden im Sommer stand dieselbe Idee. Der Taschendieb muss sich mühsam das Kleingeld der Leute im Gedränge des Marktes ergaunern - und weiß nie, wieviel wirklich in der stibitzten Brieftasche drin ist. Der Bankräuber holt sich das Geld gezielt da, wo die Leute, die viel davon haben, es selber hinbringen.

Ist dadurch das Geschäftsmodell der Banken gefährdet? Nein, auch wenn es immer weder zu spektakulären Coups kam. Ist dadurch das Geschäftsmodell der MSPs gefährdet? Die von ChannelPartner im Juli befragten Akteure der Branche sagen "Nein". Ob sie Recht behalten, muss sich zeigen. Sicher ist jedoch, dass MSPs sorgfältiger arbeiten müssen als früher. Sie müssen sich ihrer enormen Verantwortung und der Möglichkeiten bewusst sein, die ein Angreifer bekommt, wenn er Zugriff auf ihre Systeme erlangt.

Aktuell hat Microsoft seit dem 1. Juli eigenen Angaben zufolge 609 Kunden auf fast 23.000 Angriffe durch die "Nobelium"-Gruppe hingewiesen. Die Angreifer seien lediglich bei einem "niedrigen einstelligen Prozentbereich" ihrer Versuche erfolgreich gewesen. Entdeckt wurden die Angriffe von Microsoft und Mandiant (bis vor kurzem noch Fireeye). Laut Mandiant ist das Ausmaß der Aktivitäten zwar geringer als Ende vergangenen Jahres, aber die neue Vorgehensweise gebe Anlass zur Sorge, weil die Angreifer den Channel, um an ihre Ziele zu gelangen. Es gebe bereits Opfer in Nordamerika und Europa, und die Angriffe dauerten an.

"Dieser Angriffsweg erschwert es den betroffenen Unternehmen, die Angriffe zu entdecken und die Aktivitäten der Hacker nachzuverfolgen", sagt Charles Carmakal, SVP und CTO bei Mandiant, zu den aktuellen Supply-Chain-Angriffen auf Microsoft-Kunden.
Foto: Mandiant

Mandiant hat in diesem Jahr bereits mehrere Angriffe untersucht, bei denen die Lieferkettenbeziehungen zwischen Technologieunternehmen und ihren Kunden ausgenutzt wurden. "Während bei dem Solarwinds-Supply-Chain-Angriff bösartiger Code in legitime Software eingeschleust wurde, wurden bei den meisten der jüngsten Aktivitäten gestohlene Identitäten und die Netzwerke von Unternehmen für Technologielösungen, Dienstleistern und Wiederverkäufern in Nordamerika und Europa ausgenutzt", fasst Charles Carmakal, Senior Vice President und CTO bei Mandiant zusammen. Ziel seien letztlich die Netzwerke von Unternehmen, die im Visier der russischen Regierung stehen.

"Dieser Angriffsweg erschwert es den betroffenen Unternehmen, die Angriffe zu entdecken und die Aktivitäten der Hacker nachzuverfolgen", erklärt Carmakal. "Erstens lenkt der initiale Angriff von den eigentlichen Zielen ab. Bei denen handelt es sich in einigen Fällen um Unternehmen mit einer ausgereifteren Cyberabwehr. Stattdessen werden kleinere Technologiepartner mit einer weniger ausgereiften Cyberabwehr angegriffen. Zweitens erfordert die Untersuchung dieser Angriffe die Zusammenarbeit und den Informationsaustausch zwischen mehreren betroffenen Unternehmen, was aufgrund von Datenschutzbedenken und betrieblicher Vertraulichkeiten eine Herausforderung darstellt."

"Diejenigen, die dachten, Solarwinds sei ein einmaliger Angriff, haben die Zeichen der Zeit nicht erkannt", warnt Amit Yoran, Chairman und CEO bei Tenable.
Foto: Tenable

Tenable kritisiert, dass die von den aktuellen Angriffen Betroffenen grundlegende Regeln der Cyberhygiene missachtet hätten. Der Anbieter verweist dabei auf einen hochrangigen Beamten der US-Regierung, der die jüngsten Angriffe als "alltägliche Operationen", bezeichnete, "die hätten verhindert werden können, wenn die Cloud-Serviceprovider grundlegende Cybersicherheitspraktiken angewendet hätten".

"Diejenigen, die dachten, Solarwinds sei ein einmaliger Angriff, haben die Zeichen der Zeit nicht erkannt", warnt Amit Yoran, Chairman und CEO bei Tenable. Die damaligen Akteure seien wenig überraschend erneut am Werk. "Diesmal zielen sie mit einem einfachen, aber groß angelegten Angriff auf Reseller für Microsoft-Cloud-Dienste ab. Die Angriffe hätten verhindert werden können, wenn die Unternehmen grundlegende Cyberhygienemaßnahmen ergriffen hätten", so Yoran weiter. Dazu zählten beispielsweise Multi-Faktor-Authentifizierung, strenge Passwortrichtlinien und das sichere Access Management. "Wieder einmal stellen wir fest, dass keine ausgefeilten, noch nie dagewesenen Techniken hinter einem großen Cyberangriff steckten", kommentiert Yoran. "Es sind schlicht die einfachen Grundlagen, die Unternehmen immer noch zu schaffen machen."

Eine relativ neue Entwicklung der vergangenen zwölf Monate ist laut Yoram "die strategische und kontinuierliche Konzentration auf die Software-Supply-Chain." Dies sei ein direkter Hinweis auf die erheblichen Sicherheitslücken in diesem Bereich. Der Vorfall bei Solarwinds habe nur erstmals deutlich darauf aufmerksam gemacht - sei aber leider kein Einzelfall.

Mehr zum Thema

Was die Cyberangriffe über Kaseya VSA für MSPs bedeuten

Überblick: Lösungen zum Remote Monitoring und Management

Solarwinds MSP wird zu N-able

Managed Services brauchen die richtigen Mitarbeiter