Mehr als 1000 Entwickler am Solarwinds-Hack beteiligt?

15. Februar 2021, 11:19
image

Microsoft hat den Hack analysiert und kommt zum Schluss, es handle sich um die raffinierteste Attacke der Geschichte.

'CBS' hat eine Ausgabe seiner Nachrichtensendung '60 Minutes' der Supply-Chain-Attacke auf SolarWinds und der darauf folgenden Angriffswelle auf Solarwinds-Kunden gewidmet. Darin kam auch der Microsoft-President Brad Smith zu Wort. 
Laut Smith hat Microsoft alle erhältlichen Informationen zu diesen Angriffen zusammengetragen und analysiert. Daraufhin habe man sich die Frage gestellt, wie viele Softwareingenieure wahrscheinlich daran beteiligt waren. Die Antwort: Es seien sicherlich mehr als 1000 gewesen. Dies sei wahrscheinlich die grösste und raffinierteste Cyberattacke gewesen, welche die Welt je gesehen habe. Und seiner Meinung nach ist sie wahrscheinlich immer noch im Gange.
Microsoft selbst gehörte zu den Opfern, deren Netzwerke via SolarWinds Orion-Software geknackt wurden. Smith erklärte, dass er selbst im November 2020, kurz nach den US-Präsidentschaftswahlen vom 3. November, von der Sache erfahren habe. Zu diesem Zeitpunkt hätten sich die Eindringlinge bereits im gesamten Microsoft-Netzwerk ausgebreitet gehabt und einiges an proprietärem Quellcode gestohlen.
Microsoft habe daraufhin 500 Ingenieure abgestellt, um den Angriff zu untersuchen. Unter anderem hätten diese herausgefunden, dass die Angreifer nur genau 4032 Zeilen des Solarwinds-Orion-Codes geändert haben, um ihre Hintertür einzubauen. Insgesamt umfasst der Orion-Code Millionen von Zeilen.

Manipulierte Zwei-Faktor-Authentifizierung

Öffentlich bekannt wurde der SolarWinds-Hack aber erst, nachdem der Security-Spezialist FireEye am 8. Dezember bekannt gab, dass er gehackt worden sei, und nachdem einige Tage darauf bekannt wurde, dass mehrere US-Ministerien via die SolarWinds-Software geknackt worden waren.
FireEye war das erste Opfer, dem es gelang, SolarWinds Orion als Einfallstor für die Angreifer zu identifizieren. CEO Kevin Mandia wurde in der 'CBS'-Sendung ebenfalls zu dieser Angriffswelle befragt. Laut Mandia hat FireEye erstmals bemerkt, dass etwas im Busch war, als man ein Zwei-Faktor-Login eines Angestellten genauer unter die Lupe nahm. Dabei habe man bemerkt, dass für diesen spezifischen Angestellten zwei verschiedene Telefone als Empfänger für den Sicherheitscode registriert waren.
Eine Nachfrage bei diesem Angestellten ergab aber, dass er selbst nur eine Nummer registriert hatte. Die Suche danach, wie es zu dieser Manipulation kommen konnte, führte FireEye letztendlich auf die Spur des Angriffs und zur Orion-Software. Wenn FireEye als Unternehmen nicht selbst genau auf solche Untersuchungen spezialisiert wäre, so Mandia, hätte man die Aufklärung des Falls wahrscheinlich nie geschafft.

Loading

Mehr zum Thema

image

BRACK.CH Business: digital und persönlich

Das Einkaufserlebnis so angenehm und einfach wie möglich zu gestalten, ist im Privatkundenbereich längst selbstverständlich. BRACK.CH Business hat sich das und noch mehr für seine Geschäftskunden auf die Fahnen geschrieben – sowohl beim Online-Angebot als auch in der persönlichen Betreuung.

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

US-Behörde will Activision-Übernahme durch Microsoft verhindern

Microsofts grösste Akquisition der Firmengeschichte gerät immer mehr unter Druck. Die US-Handelsaufsicht FTC hat Klage gegen die Übernahme eingereicht.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022