Mittlerweile wurde eine dritte Malware entdeckt. Diese kam bereits im Herbst 2019 zum Einsatz. Noch bleiben aber wichtige Fragen offen.
Das Cybersecurity-Unternehmen Crowdstrike teilt mit, dass es bei der Analyse des Angriffs auf Solarwinds einen dritten Malware-Stamm entdeckt habe. Bislang waren Sunburst und Teardrop bekannt. Die neu entdeckte Malware tauft die an der offiziellen Untersuchung beteiligte Firma auf den Namen Sunspot.
Bestätigt wird dies auch von Sudhakar Ramakrishna, dem CEO von Solarwinds, der in einem Blogpost von einer höchst ausgeklügelten Schadsoftware schreibt. Obwohl zuletzt entdeckt, soll Sunspot ganz am Anfang der Attacke stehen. Die Schadsoftware sei bereits im September 2019 eingesetzt worden, als Hacker erstmals ins interne Netzwerk von Solarwinds eindrangen, heisst es von Crowdstrike. Dort sei sie auf Solarwinds-Build-Servern installiert worden und die Hacker hätten mit Testläufen des Angriffs begonnen. Dies ist auch der Timeline zu entnehmen, die Solarwinds nun veröffentlicht hat.
Grafik: Solarwinds
Sunspot habe Befehle überwacht, mit denen Orion zusammengesetzt wurde, schreibt Crowdstrike. Laut dem Security-Unternehmen hat Sunspot dabei unbemerkt Quellcodedateien in der Orion-Software ersetzt und mit Sunburst infiziert.
Die verseuchten Orion-Varianten gelangten schliesslich auf die offiziellen Update-Server von Solarwinds und wurden dann von zahlreichen Kunden bei Updates auf deren Netzwerken installiert. Hier kam Sunburst zum Einsatz: Die Malware wurde in den Kunden-Netzwerken aktiviert und sammelte Daten über ihre Opfer, die an die Hacker geschickt wurden. Um nicht entdeckt zu werden, hätten die Angreifer legitimen Netzwerkverkehr simuliert.
Die Kriminellen beurteilten schliesslich, ob ein Opfer wichtig genug ist. Wenn dies der Fall war, setzten sie den leistungsfähigeren Teardrop ein. In anderen Fällen wurde Sunburst aus den Systemen gelöscht und somit die Spuren beseitigt. Dies würde auch bedeuten, dass nicht nur – wie anfänglich vermutet – staatliche Behörden der USA im Fokus des Angriffs standen.
Mittlerweile verdichten sich die Indizien, dass hinter der gigantischen Attacke russische Hacker stecken. Ungeklärt ist aber nach wie vor, wie diese überhaupt in das Netzwerk von Solarwinds gelangt sind. Das FBI ermittelt unter anderem gegen Jetbrains, ein tschechisches Unternehmen mit russischen Entwicklungsstandorten, das Tools herstellt und Solarwinds zu seinen Kunden zählt. Allerdings tappen die Ermittler noch im Dunklen, auch gibt es keine Beweise für die russische Urheberschaft.