Fragen? Antworten! Siehe auch: Alternativlos
Da gibt es drei wichtige Fragen.
Erstens: Wie kommt man rein?
Zweitens: Wie kommt man die Daten ran, ohne dass es auffällt?
Drittens: Wie kriegt man die Daten rausgeschickt, ohne dass es auffällt?
Gehen wir da doch mal systematisch ran. Wie kriegt man am besten Software in eine Firma? Wenn die Firma das selbst aufspielt! Und was spielen Firmen selber auf? Na Updates für ihre gekaufte Software! Ich erinnere mich dunkel, seinerzeit vor automatischen Updates als Angriffsvektor gewarnt zu haben, aber auf mich hat ja wie üblich niemand gehört. Anstatt Software so zu bauen, dass sie keine Updates braucht, hat die Industrie im Gegenteil auf möglichst viele Updates in möglichst kurzem Abstand optimiert.
Gut, also. Unser Geheimdienst sucht sich also eine Software, die die Firmen eh schon installiert haben, und hackt sich da in den Updatemechanismus rein.
Bleibt die Frage, wie die Malware dann an die Daten kommt? Am einfachsten ist es, wenn die Software, deren Updater wir übernommen haben, selber dafür da ist, an alle Daten ranzukommen. Die optimale Lösung wäre ein Schlangenöl, aber alles, das mit Monitoring zu tun hat, funktioniert auch prächtig. Am besten wäre die Monitoring-Komponente von einem Schlangenöl.
Gut, bleibt die Frage, wie man die Daten aus dem Netz des Opfers rauskriegt. Im Allgemeinen merken Leute nicht, wenn aus ihren Netzen Sachen auch in großem Volumen rausgeschickt werden, außer das Volumen ist so groß, dass der Rest der Anwendungen ruckelt oder Fehler wirft. Aber heutzutage ist so viel Cloud Computing, dass man selbst großvolumige Exfiltration problemlos einfach machen kann, solange die Gegenseite nach einem Clouddienst aussieht, am besten sowas wie Dropbox oder Sharepoint oder Onedrive oder so.
Warum erzähle ich das alles? Genau das ist passiert. Die Monitoring-Software heißt Solarwinds Orion. Über diese Software sind "die Russen" (nein, wirklich!) auch bei Fireeye reingekommen. Fireeye, wir erinnern uns, behauptet, sich mit Security auszukennen. Und setzt dann eine externe Monitoring-Software ein. Und merkt monatelang nicht, wie ihre Daten rausgetragen werden. Und gelten immer noch als Security-Experten!! Nicht nur das, die versuchen das gerade in eine PR-Op umzuwandeln, genau wie Heise damals, als sie von Emotet hopsgenommen wurden.
Was ich an der Stelle mal herausstellen will: Die Industrie setzt gerade in großem Stil auf Code Signing als Lösung gegen Malware. In diesem Fall war die Malware von Solarwinds signiert. Code Signing ist Schlangenöl!
Update: Übrigens, Spaß am Rande: Offenbar gab es da den einen oder anderen Insiderhandel in der Führungsriege von Solarwinds. Hey, von so einer Firma willst du doch deine Monitoring-Software kaufen!
Update: Solarwinds hatte ihre FTP-Zugangsdaten wohl in einem öffentlich Github-Repo veröffentlicht. Also mit so viel Niedertracht bei den Russen konnte ja wohl niemand rechnen. Gehen die öffentliche Github-Repositories durch und suchen nach Passwörtern! Haben die denn gar keine Scham!?!?