FBI und NSA vermuten Russen hinter dem Solarwinds-Hack

6. Januar 2021, 13:39
image

Die US-Behörden erklären, der Angriff sei noch nicht abgewehrt. Ein Überblick zur bisherigen Entwicklung des grössten Hacks seit Jahren.

Mehrere US-Sicherheitsbehörden bezeichnen Russland als mutmasslichen Urheber des Hackerangriffs mittels der Software von Solarwinds. Dies teilten das FBI, der Abhördienst NSA, die Cybersicherheitsbehörde CISA und das Direktorium der Nachrichtendienste ODNI in einem gemeinsamen Statement am 5. Januar mit.
Die Untersuchungen würden darauf hindeuten, "dass ein APT-Akteur (Advanced Persistent Threat), wahrscheinlich russischen Ursprungs, für die meisten oder alle der kürzlich entdeckten, laufenden Cyberangriffe auf Regierungs- und Nichtregierungsnetzwerke verantwortlich ist". Die Behörden stellen sich mit dieser Feststellung gegen Äusserungen des scheidenden Präsidenten Donald Trump. Dieser hatte nach Bekanntwerden der Attacke getwittert, auch China könnte der Urheber sein.
Die Behörden hätten als Task-Force eine gemeinsame Cyber Unified Coordination Group (UCG) eingerichtet. Diese bezeichnet den Angriff als "andauernd" und geht davon aus, dass es sich um einen Versuch handle, an geheime Informationen zu gelangen.
"Die UCG geht davon aus, dass von den ca. 18'000 betroffenen Kunden des öffentlichen und privaten Sektors, die das Produkt Orion von Solar Winds einsetzen, eine viel kleinere Anzahl durch Folgeaktivitäten auf ihren Systemen kompromittiert worden ist. Wir haben bisher weniger als zehn US-Regierungsbehörden identifiziert, die in diese Kategorie fallen, und arbeiten daran, die nichtstaatlichen Stellen, die ebenfalls betroffen sein könnten, zu identifizieren und zu informieren", heisst es weiter.
Es handle sich um eine schwerwiegende Kompromittierung, die eine nachhaltige und engagierte Anstrengung zur Behebung erfordern werde. Beweise für die Behauptung, dass Russland hinter den Angriffen steckt, legt die UCG aber bis jetzt der Öffentlichkeit keine vor. "Die UCG konzentriert sich weiterhin darauf, sicherzustellen, dass die Opfer identifiziert werden und in der Lage sind, ihre Systeme zu sanieren, und dass Beweise gesichert und gesammelt werden", schliesst das Statement.

Der Verlauf des Solarwinds-Hacks

Seit Dezember 2020 werden immer neue Details zum Angriff, der über die Plattform Orion von Solarwinds erfolgte, bekannt. Sie werfen kein gutes Licht auf die Firma und die US-Behörden, weil die Attacke über Monate unentdeckt geblieben war und erst bekannt wurde, als die Security-Firma FireEye Alarm schlug. Ein Überblick der bisherigen Entwicklungen:
  • Anfang Dezember 2020: Der Security-Spezialist FireEye gibt bekannt, gehackt worden zu sein. Dabei seien auch Security-Tools der Firma kopiert worden.
  • Wenige Tage später wird klar, dass der Angriff über einen Supply-Chain-Hack der Orion-Software von Solarwinds erfolgt war. Die später "Sunburst" getaufte Malware sei über ein verseuchtes Update eingeschleust worden. Diverse US-Ämter wie das Department of Homeland Security, das Aussenministerium und das Finanzministerium sollen zu den Opfern gehören. Erste Mutmassungen über russische Urheber werden geäussert.
  • 15. Dezember 2020: Das 'Wall Street Journal' meldet, die Hacker seien über Monate hinweg unentdeckt geblieben. Solarwinds selbst erklärt, dass die Backdoor zwischen März und Juni 2020 in ihre Orion-Updates implantiert worden sei. 18'000 Kunden weltweit sollen betroffen sein.
  • 18. Dezember 2020: Auch in der Schweiz hat Solarwinds rund 30 Grosskunden, darunter Telcos und Banken. Über mögliche Opfer ist aber noch nichts bekannt. Swisscom und Switch erklären, wie Kunden reagieren sollten.
  • 22. Dezember 2020: Laut 'Wall Street Journal' sollen diverse Technologieriesen wie Cisco, Intel, Nvidia und andere ebenfalls betroffen sein. Microsoft hatte zuvor erklärt, zu den Opfern zu gehören und Gegenmassnahmen eingeleitet zu haben. Zudem soll eine zweite Malware-Variante ("Supernova") in Solarwinds Orion installiert worden sein.
  • Ende Dezember 2020: Security-Experten erklären, der Hack könnte sogar bereits im Jahr 2019 begonnen haben. Es sei der grösste Angriff auf US-Netzwerke der Geschichte. Und es werde Monate dauern, um das ganze Ausmass zu erfassen und zu verstehen.
  • 31. Dezember 2020: Microsoft gibt bekannt, dass die Hacker offenbar weiter ins Firmennetzwerk vordrangen, als bisher angenommen. Diese hätten auch Quellcode einsehen können.
  • 2. Januar 2021: Ein Artikel der 'New York Times' wirft den US-Cybersecurity-Behörden vor, dass deren Frühwarnsysteme versagt hätten. Zudem sei Solarwinds "für die mangelnde Sicherheit seiner Produkte bekannt" und dadurch ein leichtes Angriffsziel gewesen. Weiter sei ein Teil der kompromittierten Solarwinds-Software in Osteuropa entwickelt worden. Ermittler würden nun untersuchen, ob der Hack dort seinen Anfang nahm, so die 'NYT'. Die Zeitung spricht von 250 Opfern, darunter US-Bundesbehörden und Unternehmen.
  • 4. Januar 2021: In den USA wird von Aktionären eine erste Sammelklage gegen Solarwinds eingereicht. Das Unternehmen habe Informationen zur Schwachstelle nicht offengelegt.
  • 6. Januar 2021: Auf die Anfrage eines Bundestagsabegordneten antwortet die deutsche Regierung, dass 16 Ministerien und Bundesämtern zumindest zeitweise oder "vereinzelt" die Produkte von Solarwinds einsetzen würden, berichtet 'Der Spiegel'.  Dazu würden auch viele Sicherheitsbehörden und der zentrale IT-Dienstleister des Bundes gehören. Die Bundegierung erklärt weiter, nach  derzeitigen Kenntnisstand habe es "über das Schadprogramm in der Software Solarwinds Orion keine unberechtigten Zugriffe auf Systeme der Bundesverwaltung gegeben".
  • 6. Januar 2021: Es ist immer noch unklar, ob die Angreifer Spionageziele verfolgten oder die Störung von IT-Systemen und Behörden. Die vereinten US-Security-Behörden glauben vor allem an Spionage, so 'AP'.
Update 17.05 Uhr: Der Artikel wurde um die Meldung des 'Spiegels' ergänzt.

Loading

Mehr zum Thema

image

Talkeasy Schweiz wird liquidiert

Am 14. Dezember 2022 wurde Talkeasy aufgelöst. Der Schweizer Telco war für seine aggressive Kundenbindung bekannt.

publiziert am 27.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023