Codecov-Breach: So schlimm wie Solarwinds?

21. April 2021 um 14:44
image

Der Supply-Chain-Hack könnte den Angreifern ermöglichen, auch Software-Produkte von Codecov-Kunden zu kompromittieren.

Ein Supply-Chain-Hack auf einen Softwareanbieter namens Codecov, der zunächst etwas unter dem Radar von inside-it.ch geflogen ist, macht nun immer mehr Schlagzeilen. Wie sich zeigt, könnten auch grosse IT-Unternehmen wie IBM oder HPE, und damit auch deren Kunden, durch den Supply-Chain-Angriff auf Codecov gefährdet sein.
Codecov bietet Lösungen zum Management und zum Auditieren von Softwarecode an. Diese werden oft von Unternehmen verwendet, die selbst Software entwickeln. Dies bedeutet, dass Hacker, die Codecov-Lösungen kompromittieren, darüber potenziell auch Zugriff auf Softwareprodukte von Kunden erhalten und so weitere Supply-Chain-Attacken durchführen könnten. Codecov hat insgesamt rund 19'000 Kunden.
Das Unternehmen hat am 1. April erstmals entdeckt, dass in seinen Systemen etwas nicht stimmte. Am vergangenen Donnerstag, dem 15. April, gab Codecov dann offiziell bekannt, dass sich jemand Zugang zu seinem "Bash Uploader"-Script verschafft und es modifiziert hatte.  Der Angreifer habe dafür einen Fehler in Codecovs Prozess zur Generierung von Docker-Images ausgenützt. Dadurch sei er an Credentials gekommen, die ihm erlaubten, das Bash-Uploader-Script zu modifizieren.
Die Modifikationen ermöglichten es den Angreifern, Informationen, die in den Continous-Integration-Umgebungen von Codecov-Kunden gespeichert sind, abzugreifen. Wie Codecov zudem entdeckte, begannen die Modifikationen bereits am 31. Januar. Der oder die Angreifer hatten also mehr als zwei Monate Zeit, um ihre Hintertür ungestört auszunützen.
Laut einem aktuellen Bericht von 'Reuters', der sich auf Informationen von Personen stützt, die an der Aufklärung des Codecov-Vorfalls mitarbeiten, sollen sich die Angreifer via das manipulierte Codecov-Produkt Zugang zu Hunderten von Kunden-Netzwerken verschafft haben. Die Codecov-Tools, so 'Reuters', geben den Hackern Zugang zu Credentials für interne Software-Accounts der Kunden. Die Hacker hätten diese Credentials kopiert und so schnell Zugriff auf weitere Ressourcen erhalten.
Einige der betroffenen Codecov-Kunden, darunter IBM, HPE und Atlassian habe sich in vorläufigen Statements zum Vorfall geäussert. IBM und Atlassian erklärten ebenso wie einige andere Unternehmen, dass sie keine Änderungen am eigenen Code gefunden haben. HPE sagte, man sei noch daran, dies abzuklären.
Einige Security-Experten vergleichen den Codecov-Hack trotzdem bereits mit dem Supply-Chain-Angriff auf Solarwinds. Die Angreifer haben ein ähnlich hohes technisches Niveau wie die Solarwinds-Hacker, so die Einschätzung der von US-Medien zitierten Experten. Und die Auswirkungen des Vorfalls könnten ähnlich schwerwiegend werden, vor allem, wenn dieser Supply-Chain-Hack tatsächlich weitere möglicherweise bisher noch nicht entdeckte Supply-Chain-Hacks, nach sich zieht.
Während die US-Regierung mittlerweile davon ausgeht, dass letztendlich der russische Geheimdienst hinter der Solarwinds-Attacke stand, gibt es noch keine öffentlich bekannt gegebenen Vermutungen über die Identität der Codecov-Angreifer.

Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 14