Crowdstrike: So lief der Hack von Solarwinds ab

12. Januar 2021, 13:48
image

Mittlerweile wurde eine dritte Malware entdeckt. Diese kam bereits im Herbst 2019 zum Einsatz. Noch bleiben aber wichtige Fragen offen.

Das Cybersecurity-Unternehmen Crowdstrike teilt mit, dass es bei der Analyse des Angriffs auf Solarwinds einen dritten Malware-Stamm entdeckt habe. Bislang waren Sunburst und Teardrop bekannt. Die neu entdeckte Malware tauft die an der offiziellen Untersuchung beteiligte Firma auf den Namen Sunspot.
Bestätigt wird dies auch von Sudhakar Ramakrishna, dem CEO von Solarwinds, der in einem Blogpost von einer höchst ausgeklügelten Schadsoftware schreibt. Obwohl zuletzt entdeckt, soll Sunspot ganz am Anfang der Attacke stehen. Die Schadsoftware sei bereits im September 2019 eingesetzt worden, als Hacker erstmals ins interne Netzwerk von Solarwinds eindrangen, heisst es von Crowdstrike. Dort sei sie auf Solarwinds-Build-Servern installiert worden und die Hacker hätten mit Testläufen des Angriffs begonnen. Dies ist auch der Timeline zu entnehmen, die Solarwinds nun veröffentlicht hat.
image
Grafik: Solarwinds
Sunspot habe Befehle überwacht, mit denen Orion zusammengesetzt wurde, schreibt Crowdstrike. Laut dem Security-Unternehmen hat Sunspot dabei unbemerkt Quellcodedateien in der Orion-Software ersetzt und mit Sunburst infiziert.  
Die verseuchten Orion-Varianten gelangten schliesslich auf die offiziellen Update-Server von Solarwinds und wurden dann von zahlreichen Kunden bei Updates auf deren Netzwerken installiert. Hier kam Sunburst zum Einsatz: Die Malware wurde in den Kunden-Netzwerken aktiviert und sammelte Daten über ihre Opfer, die an die Hacker geschickt wurden. Um nicht entdeckt zu werden, hätten die Angreifer legitimen Netzwerkverkehr simuliert.
Die Kriminellen beurteilten schliesslich, ob ein Opfer wichtig genug ist. Wenn dies der Fall war, setzten sie den leistungsfähigeren Teardrop ein. In anderen Fällen wurde Sunburst aus den Systemen gelöscht und somit die Spuren beseitigt. Dies würde auch bedeuten, dass nicht nur – wie anfänglich vermutet – staatliche Behörden der USA im Fokus des Angriffs standen.
Mittlerweile verdichten sich die Indizien, dass hinter der gigantischen Attacke russische Hacker stecken. Ungeklärt ist aber nach wie vor, wie diese überhaupt in das Netzwerk von Solarwinds gelangt sind. Das FBI ermittelt unter anderem gegen Jetbrains, ein tschechisches Unternehmen mit russischen Entwicklungsstandorten, das Tools herstellt und Solarwinds zu seinen Kunden zählt. Allerdings tappen die Ermittler noch im Dunklen, auch gibt es keine Beweise für die russische Urheberschaft.
Crowdstrike hat seine Befunde auf der hauseigenen Website mit technischen Details dokumentiert.

Loading

Mehr zum Thema

image

Talkeasy Schweiz wird liquidiert

Am 14. Dezember 2022 wurde Talkeasy aufgelöst. Der Schweizer Telco war für seine aggressive Kundenbindung bekannt.

publiziert am 27.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023