Solarwinds-Hack: Gegenmassnahmen und fragwürdige Aktienverkäufe

16. Dezember 2020 um 14:20
image

Investoren haben Solarwinds-Aktien abgestossen ‒ wenige Tage bevor der Hack bekannt wurde. Und Microsoft hat einen C&C-Server beschlagnahmen können.

Noch ist nicht klar, welches Ausmass der mittlerweile "Sunburst" genannte Cyberangriff hat, der durch einen Supply-Chain-Hack auf den Software-Hersteller Solarwinds ermöglicht wurde. Wie wir bereits gestern berichtet haben, sind in den USA unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons dadurch kompromittiert worden. Zudem könnten weltweit auch 18'000 andere Solarwinds-Kunden, die mit den Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben, betroffen sein. Darunter könnten sich auch Schweizer Unternehmen wie CS, Cablecom oder Swisscom befinden.
Konkrete neue informationen zu weiteren Opfern sind allerdings seit gestern nicht aufgetaucht. Dafür ist eine zumindest verdächtig erscheinende Aktion der Investmentfirmen Silver Lake und Thoma Bravo, die beide zu den Grossaktionären von Solarwinds gehören, ans Licht gekommen. Laut der 'Washington Post' haben sie am 7. Dezember, eine Woche bevor der Hack öffentlich bekannt wurde, Solarwinds-Aktien im Wert von 286 Millionen Dollar verkauft. Der Aktienkurs von Solarwinds ist seit dem Bekanntwerden des Vorfalls um rund ein Viertel abgesackt.
Ein schräges Licht auf Solarwinds wirft auch ein Bericht  von 'The Register'.   Demnach hat ein Security-Forscher vor rund einem Jahr in einem öffentlich zugänglichen Github-Repository im Klartext das Passwort für den Update-Server von Solarwinds gefunden. Darüber hinaus war es ein äusserst geniales Passwort: "Solarwinds123". Nach der Warnung des Security-Forschers habe Solarwinds das Problem zwar sofort behoben, aber das Passwort sei rund zwei bis drei Wochen lang  offen zugänglich gewesen.
Derweil hat unter anderem Microsoft einige Massnahmen getroffen, um betroffene Solarwinds-Kunden zu schützen. Der Microsoft Defender wurde um entsprechende Signaturen erweitert und soll nun ab heute, dem 16. Dezember, kompromittierte Solarwinds-Orion-Dateien erkennen und in Quarantäne stellen. Microsoft hat zudem einige Empfehlungen dafür, wie man mit betroffenen Devices umgehen sollte. Die Massnahme des Softwareriesen könnte allerdings nicht allen Kunden gefallen. Microsoft selbst erwartet, dass die Quarantäne einige Netzwerk-Monitoring-Tools zum Absturz bringen wird.
Microsoft ist es zudem gemäss 'ZDnet' zusammen mit anderen Tech-Unternehmen gelungen, die Domain des Command-and-Control-Servers (C&C) der Malware, die von den Solarwinds-Angreifern in die Systeme ihrer Opfer eingepflanzt wurde, zu beschlagnahmen und vom Netz zu nehmen. Einerseits könnte es dies erlauben, alle Opfer zu identifizieren und zu warnen. Möglicherweise könnte es auch gelingen, die Angreifer daran zu hindern, sich weiter in infizierten Systemen auszubreiten.

Loading

Mehr erfahren

Mehr zum Thema

image

EU stellt Fragen, Broadcom macht Zugeständnisse

Nach Beschwerden von Usern und Providern hat die EU Fragen an Broadcom geschickt. Der Konzern reagierte mit einem leichten Zurückkrebsen.

publiziert am 16.4.2024
image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Salesforce will angeblich Informatica übernehmen

Derzeit laufen gemäss Berichten Gespräche über einen allfälligen Kauf. Es wäre die grösste Übernahme von Salesforce seit der Akquisition von Slack im Jahr 2020.

publiziert am 15.4.2024