Analyse und Kommentar: Sophos und der gebrochene Schwur

Inhaltsverzeichnis

Nach dem ereignisreichen Mittwoch mit Trumps Wiederwahl und dem Bruch der Ampelregierung fällt es nicht leicht, sich auf IT-Security zu fokussieren. Dabei gibt es dort ebenfalls große Verwerfungen. Weitgehend unbemerkt von der breiten Öffentlichkeit hat Sophos ein Tabu der Antiviren-Hersteller gebrochen und verkauft das sogar als Heldentat: Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

• heise Security Pro

Damit hat Sophos nun öffentlich gebrochen – natürlich nur, um die Bösen™ zu überführen und deren Missetaten zu stoppen. Bevor ich die Bedeutung des Vorgangs diskutiere, ein paar nüchterne Fakten. Sophos hat – wie sie in ihrer Operation Pacific Rim selbst dokumentieren – bereits Mitte 2020 die Erhebung der automatisch eingesammelten Telemetrie-Daten deutlich erweitert. Sie taten dies nicht zur Optimierung oder um Fehler in der Software zu finden, sondern als Reaktion auf Angriffe auf ihre Netzwerk-Appliances, die dann für weitere Angriffe missbraucht wurden – etwa als sogenannte Operational Relay Boxes.

Konkret wollte Sophos damit denjenigen auf die Schliche kommen, die Sicherheitslücken in ihren Firewall- und VPN-Appliances aufspüren und dann Techniken entwickeln, die auch tatsächlich ausnutzen. In diesem Kontext analysierten sie unter anderem auf der Kommandozeile ausgeführte Befehle und registrierten verdächtige Aktivitäten wie die Nutzung von Scan-Tools wie masscan. Die Funktionen zur erweiterten Telemetrie-Erhebung rollte Sophos über Hotfixes aus:

"Durch die Kombination von Telemetriedaten, die von den Hotfixes empfangen wurden, mit Daten zur Registrierung von Testlizenzen und Webanalysen waren die Analysten von X-Ops in der Lage, eine Timeline für die Vorbereitung der Angriffe zu erstellen. [...] Vor allem wurde ein einzelnes Gerät mit verdächtigen Aktivitäten identifiziert, die bis Februar 2020 zurückreichen. [...] Die Telemetriedaten dieser Geräte zeigten, dass der Zugriff auf die Befehlszeile und deren Nutzung mit der Erforschung von Schwachstellen und der Entwicklung von Exploits übereinstimmen."

Das "Kernel-Implant"

Nachdem diese "erweiterte Telemetrie" erste Hinweise erbracht hatte, entwickelte Sophos ein spezielles "Kernel-Implant", das eine noch weitergehende Überwachung und das Einsammeln beliebiger Dateien ermöglichte, ohne dass der Eigentümer des Systems eine Chance hatte, das zu entdecken:

"23. April - 10. Mai 2020: Forward Deployment Tooling

[...] entwickelte X-Ops ein spezielles Kernel-Implant, das auf Geräten eingesetzt werden konnte, von denen Sophos mit hoher Wahrscheinlichkeit wusste, dass sie von Gruppen kontrolliert wurden, die bösartige Exploit-Forschung betrieben. Das Tool ermöglichte das Sammeln von Dateien und Protokollen aus der Ferne ohne sichtbare Userland-Artefakte."

Dieses Überwachungsmodul installierten sie dann auf Systemen, bei denen sie ausreichend sicher waren, dass sie zu bösartigen Zwecken genutzt wurden – Sophos spricht da von "high confidence", qualifiziert das jedoch nicht weiter. Das geschah erstmals, wohlgemerkt ohne Wissen oder Zustimmung des Eigentümers, am 9. Juli 2020 auf einem System, das Sophos unter anderem über die Telemetriedaten als Testobjekt der Missetäter identifiziert hatte. Wie Sophos diese Kernel-Erweiterung gezielt auf einzelnen Systemen installierte, erklären sie nicht. Doch in den kommenden Jahren installierte Sophos dieses Kernel-Rootkit auf weiteren Systemen, die sie als verdächtig eingestuft hatten. Auf meine Fragen an Sophos zu Durchführung und Umfang dieser Aktivitäten habe ich bislang keine Antwort erhalten.

Erfolgreiche Schutzmaßnahmen

Mit dieser Vorgehensweise verzeichnete Sophos jedenfalls eine Reihe von Erfolgen, die der Hersteller in seiner Timeline ausführlich dokumentiert. Demnach konnten sie eine chinesische Forschergruppe identifizieren, die offenbar gezielt Sicherheitslücken in Sophos Appliances aufspürte und dafür Exploits entwickelte. Die setzten dann später chinesische Angreifergruppen wie Volt Typhoon, APT31 und APT41/Winnti ein, um in Netze von Firmen und Organisationen einzubrechen. Ferner entdeckte Sophos mehrere Rootkits, darunter den Prototypen eines UEFI-Bootkits, der sich fest in der Firmware eines kompromittierten Geräts einnisten konnte, aber bislang nicht in freier Wildbahn gesichtet wurde.

Die Erkenntnisse nutzte Sophos, um Angriffe frühzeitig aufzudecken, Systeme zu patchen oder vorbeugend gegen die gefundenen Angriffstechniken abzusichern. Dabei kombinieren die Sophos-Spezialisten die Informationen aus der Aufklärung realer Vorfälle (Incident Response) und die aus der erweiterten Überwachung der Hacker. Aus der Schilderung geht jedoch nicht eindeutig hervor, an welchen Stellen genau die durch die erweiterte Telemetrie und das Kernel Implant gewonnenen Erkenntnisse dies erst ermöglicht haben. Auf meine Nachfragen zu den unklaren Punkten hat Sophos bislang nicht geantwortet.

Vorwärtsverteidigung

Bei den von Sophos identifizierten Missetätern handelt es sich anscheinend um chinesische Sicherheitsforscher in Chengdu. Die untersuchten wohl gezielt Sophos Security Appliances und hatten dazu eine Reihe von Testsystemen in Betrieb, für die sie entweder Testlizenzen oder teils auch von Dritten erworbene, reguläre Lizenzen nutzten. Dabei lieferten sie offenbar in mehreren Fällen dem Hersteller Bug-Reports, die Sophos in mindestens einem Fall sogar mit einem Bug-Bounty belohnte. Hinweise darauf, dass die Forscher selbst Angriffe auf Dritte durchführten, gibt Sophos nicht. Vielmehr vermutet der Hersteller, dass sie ihre Erkenntnisse mit staatlichen Stellen teilten – wie es übrigens die chinesische Gesetzgebung vorschreibt. Wie die Informationen und Tools dann in die Hände der tatsächlichen Angreifer gelangten, bleibt unklar.

Sophos präsentiert sich selbst damit als Vorreiter im Kampf gegen staatliche Angreifer und Cybercrime. US-Medien zitieren den Security-Anbieter mit Erklärungen, in denen sich dieser als Vorreiter und Vorbild für die ganze Branche sieht. Und angesichts der erzielten Ergebnisse gibt es durchaus Fürsprecher, die diese Aktion feiern und mehr davon fordern. Im Kampf gegen Cybercrime und APT-Angriffe sehen sie das als akzeptable Vorwärtsverteidigung. Ich bin davon nicht so überzeugt – im Gegenteil.

Kunden ausspioniert

Ich sehe das eher so: Da hat ein Hersteller von den IT-Systemen seiner Kunden Daten eingesammelt, die nicht deren Verbesserung, sondern explizit dem Aufspüren verdächtiger Aktivitäten dienten. Die Erhebung von notwendigen Telemetrie-Daten zur Verbesserung der Systeme diente nur als Fassade für anlasslose Massenüberwachung. In konkreten Verdachtsfällen installierte der Hersteller dann ohne Wissen der Kunden und gegen deren anzunehmenden Willen nachträglich sogar spezielle Überwachungs-Software, die unter anderem auch in der Lage ist, gezielt beliebige Dateien zu exfiltrieren. Das nennt man normalerweise Malware, die Hotfixes waren Trojaner, das Kernel Implant ein Rootkit und die Vorgehensweise entspricht der von Cybercrime-Banden und staatlichen Angreifern.

Hier soll das jedoch okay sein, weil es ja gegen die Bösen™ ging. Ich frage mich da: Wer genau darf das? Jeder Hersteller – also auch Facebook/Meta und Huawei? Oder nur manche? Für welche Zwecke genau? Ist das auch angemessen, um etwa gegen Raubkopierer vorzugehen? Nur solche in China? Oder vielleicht auch in Europa – zumindest in dessen Osten? Wer trifft im Einzelfall die Entscheidung, ob das legitim ist? All das diskutiert Sophos nicht einmal ansatzweise. Sie sehen da offenbar keine Probleme und gedenken, das so fortzuführen.

Echter Schutz geht anders

Ich bin kein Jurist und mag mir da kein Urteil erlauben, ob und gegen welche Gesetze diese Vorgehensweise verstößt. Zumindest waren auf den ersten Blick keine personenbezogenen Daten involviert und Sophos Juristen haben das Vorgehen offenbar abgesegnet. Vielleicht auch deshalb, weil die chinesischen Forscher kaum Klage vor Gericht erheben werden. Doch ich würde die Software eines Herstellers nicht mehr einsetzen, wenn der sich das Recht herausnimmt, ohne jegliche Kontrollinstanz darüber zu entscheiden, was er mit meinen IT-Systemen alles tun kann – und sich dafür auch noch feiert.

Ich würde es vielmehr begrüßen, wenn die Hersteller von Appliances – und da besonders die im Security-Bereich – endlich ihre Hausaufgaben im Hinblick auf Security machen würden. Egal, ob Sophos, Ivanti, Fortinet, Cisco oder Palo Alto: Mit jedem neuen Zero-Day-Exploit wird es offensichtlicher, dass eure Appliances nicht einmal Basis-Security-Anforderungen gerecht werden. Geschweige denn, dass sie den hohen Anforderungen genügten, die man an Firewalls und VPN-Gateways eigentlich stellen muss. Da solltet ihr euch hervortun und einen Plan vorlegen, wie ihr gedenkt, da endlich gründlich aufzuräumen, statt immer nur den gerade aufgetauchten Zero Day notdürftig zu verarzten.

Anmerkung: Dieser Text entstand ursprünglich im Rahmen meines exklusiven Newsletters für heise security PRO, der Sicherheitsverantwortlichen einen wöchentlichen Überblick über wichtige Security-Themen liefert.

(ju)