Der Vorfall
Im Dezember 2020 enthüllte die IT-Sicherheitsfirma FireEye einen der schwerwiegendsten Cyberangriffe, die je dokumentiert wurden. Angreifer – später der russischen Hackergruppe APT29 (auch bekannt als Cozy Bear) zugeordnet – hatten das Build-System des texanischen Softwareunternehmens SolarWinds infiltriert. SolarWinds stellte mit seinem Produkt Orion eine weit verbreitete Netzwerk-Management-Plattform her, die von rund 300.000 Organisationen weltweit eingesetzt wurde.
Die Angreifer manipulierten den Software-Build-Prozess so, dass ein reguläres Update für die Orion-Plattform (Versionen 2019.4 HF 5 bis 2020.2.1) eine versteckte Backdoor enthielt. Diese Backdoor erhielt den Namen SUNBURST. Zwischen März und Juni 2020 installierten rund 18.000 Organisationen das kompromittierte Update – sie vertrauten der digitalen Signatur von SolarWinds, die tatsächlich gültig war, da der Schadcode bereits vor der Signierung eingebettet worden war.
Unter den Betroffenen befanden sich das US-Finanzministerium, das US-Handelsministerium, das Heimatschutzministerium, Teile des Pentagon, die Cybersicherheitsbehörde CISA, die National Nuclear Security Administration (zuständig für das US-Atomwaffenarsenal), Microsoft, Intel, Cisco, Deloitte und zahllose weitere Behörden und Unternehmen. Der Schaden wurde auf mehrere Milliarden US-Dollar geschätzt. Der Vorfall gilt als einer der schlimmsten Spionagefälle in der Geschichte der digitalen Welt.
Wie der Angriff funktionierte
Der Sunburst-Angriff war ein Meisterwerk mehrstufiger Infiltration:
Stufe 1 – Kompromittierung des Build-Systems: Die Angreifer drangen in die Entwicklungsinfrastruktur von SolarWinds ein und manipulierten den Quellcode der Orion-Plattform. Der eingeschleuste Code war so geschickt getarnt, dass er wie regulärer Orion-Code aussah. Er wurde in eine DLL-Datei namens SolarWinds.Orion.Core.BusinessLayer.dll eingebettet.
Stufe 2 – Verteilung über legitimes Update: Das kompromittierte Update wurde über die offiziellen SolarWinds-Update-Server verteilt. Es trug eine gültige digitale Signatur und wurde von keinem Sicherheitstool als verdächtig eingestuft. Administratoren installierten es routinemäßig als Teil ihrer regulären Wartungszyklen.
Stufe 3 – Schlafphase: Nach der Installation wartete die Backdoor bis zu zwei Wochen, bevor sie aktiv wurde. Diese Verzögerung sollte eine zeitliche Korrelation zwischen dem Update und verdächtigem Netzwerkverhalten erschweren.
Stufe 4 – Kontaktaufnahme mit dem Command-and-Control-Server: Die Malware kontaktierte einen Command-and-Control-Server (C2) unter der Domain avsvmcloud[.]com. Die Kommunikation war als normaler Orion-Datenverkehr getarnt und nutzte das HTTP-Protokoll, um sich in den regulären Netzwerkverkehr einzufügen.
Stufe 5 – Nachladen weiterer Schadsoftware: Über den C2-Server luden die Angreifer zusätzliche Tools nach – darunter den TEARDROP-Loader und den Cobalt-Strike-Beacon. Diese ermöglichten laterale Bewegung im Netzwerk, das Auslesen von Zugangsdaten und den Zugriff auf E-Mail-Systeme und vertrauliche Dokumente.
Stufe 6 – Datenexfiltration: In ausgewählten Zielorganisationen bewegten sich die Angreifer monatelang unbemerkt durch die Netzwerke, lasen E-Mails mit, stahlen Dokumente und kopierten Zugangsdaten. Bei Microsoft erlangten sie sogar Zugang zu Teilen des Quellcodes.
Warum Virenscanner versagten
Die Sunburst-Kampagne legte die fundamentalen Grenzen signaturbasierter Sicherheitslösungen offen:
Der Schadcode war in ein legitimes, digital signiertes Software-Update eingebettet. Kein Virenscanner der Welt hätte ein offizielles, korrekt signiertes SolarWinds-Update blockiert. Die Signatur bestätigte dem System: „Dieser Code stammt von SolarWinds und wurde nicht verändert" – was technisch gesehen sogar stimmte, da die Manipulation vor der Signierung erfolgt war.
Die SUNBURST-Backdoor war zudem eine völlig neue, bisher unbekannte Malware. Es existierten keine Signaturen, keine Erkennungsmuster, keine bekannten Indikatoren. Der Code war so geschrieben, dass er wie normale Geschäftslogik der Orion-Plattform aussah. Er vermied typische Malware-Muster, die heuristische Scanner hätten auslösen können.
Selbst verhaltensbasierte Erkennung scheiterte: Die zweiwöchige Schlafphase, die getarnte C2-Kommunikation über HTTP und die Nutzung legitimer Windows-Systemtools für die weitere Verbreitung machten den Angriff für automatisierte Systeme praktisch unsichtbar. Die Angreifer prüften sogar aktiv, ob Sicherheitssoftware oder Analysetools auf dem System liefen, und blieben in solchen Fällen inaktiv.
So hätte Deep Freeze geschützt
Deep Freeze setzt an einem grundlegend anderen Punkt an als jede Erkennungssoftware. Statt zu versuchen, Schadsoftware zu identifizieren – was bei einer völlig neuen, in ein legitimes Update eingebetteten Backdoor wie Sunburst unmöglich war – sorgt eine eingefrorene Systempartition dafür, dass keine dauerhaften Veränderungen am System bestehen bleiben.
Auf einem mit Deep Freeze geschützten Arbeitsplatzrechner wäre der Angriff an mehreren Stellen unterbrochen worden:
Beim Neustart verschwindet alles: Selbst wenn das kompromittierte Orion-Update auf einem Arbeitsplatzrechner gelandet wäre – nach dem nächsten Neustart wäre die manipulierte DLL-Datei verschwunden. Die Backdoor hätte keine Möglichkeit, sich dauerhaft im System einzunisten.
Nachgeladene Payloads überleben nicht: Die TEARDROP- und Cobalt-Strike-Komponenten, die über den C2-Server nachgeladen wurden, wären beim Reboot vollständig entfernt worden. Die mehrstufige Angriffskette wäre unterbrochen, bevor die Angreifer ihre Ziele erreichen konnten.
Gestohlene Zugangsdaten werden ungültig: Auf einem eingefrorenen System bleiben auch gecachte Anmeldedaten nicht dauerhaft erhalten. Die Angreifer hätten keine persistenten Zugänge aufbauen können.
Regelmäßige Neustarts als Sicherheitsmaßnahme: In einer Umgebung, in der Arbeitsplätze täglich oder bei jedem Schichtwechsel neu gestartet werden, wäre das Zeitfenster für die Angreifer drastisch verkürzt worden. Die zweiwöchige Schlafphase der Malware hätte dazu geführt, dass sie auf vielen Systemen gar nicht erst aktiv geworden wäre.
Natürlich gilt: Server-Infrastruktur wie die Orion-Plattform selbst erfordert zusätzliche Schutzmaßnahmen. Aber die Masse der betroffenen Endgeräte – Arbeitsplätze von Behördenmitarbeitern, Analysten, Beratern – hätte mit Deep Freeze wirksam geschützt werden können.
Die Lehre
- Supply-Chain-Angriffe unterlaufen jede signaturbasierte Erkennung, weil der Schadcode mit einer gültigen digitalen Signatur des Herstellers ausgeliefert wird. Dein Virenscanner sieht ein vertrauenswürdiges Update – keine Bedrohung.
- Mehrstufige Angriffe brauchen Persistenz: Ohne die Möglichkeit, sich dauerhaft auf der Systempartition einzunisten, kann ein Angreifer weder nachlagern noch sich lateral im Netzwerk bewegen. Deep Freeze entzieht dieser Strategie die Grundlage.
- Schlafphasen werden zum Bumerang: Was Angreifer als Tarnmechanismus nutzen (Wochen der Inaktivität vor dem ersten C2-Kontakt), wird bei einer eingefrorenen Systempartition zum Verhängnis. Die Malware wird gelöscht, bevor sie überhaupt aktiv wird.
- Kein Sicherheitsprodukt hätte Sunburst erkannt, bevor FireEye den Angriff im Dezember 2020 aufdeckte – neun Monate nach Beginn der Verteilung. Eine eingefrorene Systempartition hätte keinen Angriff erkennen müssen, um ihn zu verhindern.
- Der beste Schutz setzt nicht auf Erkennung, sondern auf Unveränderlichkeit: Wenn Dein System bei jedem Neustart in einen sauberen Zustand zurückkehrt, spielt es keine Rolle, ob der Schadcode signiert, getarnt oder völlig unbekannt ist.