Noch ist nicht klar, welches Ausmass der mittlerweile "Sunburst" genannte Cyberangriff hat, der durch einen Supply-Chain-Hack auf den Software-Hersteller Solarwinds ermöglicht wurde. Wie wir bereits gestern berichtet haben, sind in den USA unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons dadurch kompromittiert worden. Zudem könnten weltweit auch 18'000 andere Solarwinds-Kunden, die mit den Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben, betroffen sein. Darunter könnten sich auch Schweizer Unternehmen wie CS, Cablecom oder Swisscom befinden.

Konkrete neue informationen zu weiteren Opfern sind allerdings seit gestern nicht aufgetaucht. Dafür ist eine zumindest verdächtig erscheinende Aktion der Investmentfirmen Silver Lake und Thoma Bravo, die beide zu den Grossaktionären von Solarwinds gehören, ans Licht gekommen. Laut der 'Washington Post' haben sie am 7. Dezember, eine Woche bevor der Hack öffentlich bekannt wurde, Solarwinds-Aktien im Wert von 286 Millionen Dollar verkauft. Der Aktienkurs von Solarwinds ist seit dem Bekanntwerden des Vorfalls um rund ein Viertel abgesackt.

Ein schräges Licht auf Solarwinds wirft auch ein Bericht  von 'The Register'.   Demnach hat ein Security-Forscher vor rund einem Jahr in einem öffentlich zugänglichen Github-Repository im Klartext das Passwort für den Update-Server von Solarwinds gefunden. Darüber hinaus war es ein äusserst geniales Passwort: "Solarwinds123". Nach der Warnung des Security-Forschers habe Solarwinds das Problem zwar sofort behoben, aber das Passwort sei rund zwei bis drei Wochen lang  offen zugänglich gewesen.

Derweil hat unter anderem Microsoft einige Massnahmen getroffen, um betroffene Solarwinds-Kunden zu schützen. Der Microsoft Defender wurde um entsprechende Signaturen erweitert und soll nun ab heute, dem 16. Dezember, kompromittierte Solarwinds-Orion-Dateien erkennen und in Quarantäne stellen. Microsoft hat zudem einige Empfehlungen dafür, wie man mit betroffenen Devices umgehen sollte. Die Massnahme des Softwareriesen könnte allerdings nicht allen Kunden gefallen. Microsoft selbst erwartet, dass die Quarantäne einige Netzwerk-Monitoring-Tools zum Absturz bringen wird.

Microsoft ist es zudem gemäss 'ZDnet' zusammen mit anderen Tech-Unternehmen gelungen, die Domain des Command-and-Control-Servers (C&C) der Malware, die von den Solarwinds-Angreifern in die Systeme ihrer Opfer eingepflanzt wurde, zu beschlagnahmen und vom Netz zu nehmen. Einerseits könnte es dies erlauben, alle Opfer zu identifizieren und zu warnen. Möglicherweise könnte es auch gelingen, die Angreifer daran zu hindern, sich weiter in infizierten Systemen auszubreiten.