Hacker, die vermutlich im Auftrag einer ausländischen Regierung operieren, haben die Security des Software-Anbieters SolarWinds überwunden und dann ein mit Malware verseuchtes Update für dessen Orion-Software aufgespielt.

Mit dem Supply-Chain-Hack schafften sie es laut übereinstimmenden Medienberichten, die Netzwerke von SolarWinds-Kunden - mehrere US-Firmen sowie Netzwerke der US-Regierung - zu infizieren. Dies meldet das US-Security-Unternehmen FireEye.

SolarWinds gibt auf seiner Website an, dass zu den US-Kunden die meisten der amerikanischen Fortune-500-Unternehmen gehören, die Top 10 der US-Telekommunikationsanbieter und auch das Büro des US-Präsidenten. Weitere Kunden sind das Pentagon, das Aussenministerium, die NASA, die National Security Agency (NSA), Post, und das Justizministerium. Wer alles gehackt wurde, ist unklar, aber erste Opfer sind bekannt.

Der Bericht von FireEye erscheint, nachdem 'Reuters', die 'Washington Post' und das 'Wall Street Journal' am Sonntag 13.12. über Einbrüche in das US-Finanzministerium und die National Telecommunications and Information Administration (NTIA) des US-Handelsministeriums berichteten.

Der Hack sei so schwerwiegend, dass er am Samstag 12.12. zu einer Sitzung des Nationalen Sicherheitsrates im Weissen Haus führte, sagte eine "mit der Angelegenheit vertraute Person" der Nachrichtenagentur 'Reuters'. Solche Meetings sind laut den Medien selten.

Der Hack von SolarWinds, beziehungsweise die Supply Chain, ist vergleichbar mit dem erfolgreichen Hack des Netzwerks von FireEye selbst. Dabei hatten die Angreifer auch spezielle Tools des Security-Partners des FBI, der US-Geheimdienste, der US-Militärs und anderer Behörden erbeutet.

In einer Erklärung bestätigte SolarWinds, dass Updates der IT-Performance-Monitoring-Plattform Orion, die zwischen März und Juni 2020 veröffentlicht wurden, kompromittiert wurden. Es handle sich möglicherweise um einen "hochentwickelten, gezielten und manuellen Supply-Chain-Angriff durch einen Nationalstaat".

SolarWinds sagte gegenüber dem 'Wall Street Journal', man untersuche mit den Behörden und FireEye gemeinsam, was geschehen sei.

In Sicherheitswarnungen, die am gestrigen 13.12. an Kunden verschickt wurden, bestätigte auch Microsoft die Solarwinds-Kompromittierung und stellte Gegenmassnahmen für Kunden bereit, die möglicherweise betroffen sind. Redmond bestätigte allerdings nicht Medienberichte, laut denen das Office 365 des NTIA gehackt wurde und die Angreifer monatelang Zugang zum E-Mail-Verkehr der Behörde hatten.

Die Cybersecurity und Infrastructure Security Agency CISA befiehlt allen zivilen Behörden bis 14.12, 12 Uhr (Standard Eastern Time), ihre Netzwerke zu überprüfen und nötigenfalls Solarwinds-Orion abzuschalten.

Die US-Regierung schreibt den Hack Russland zu, laut Quellen der 'Washington Post' handle es sich bei den Spionen um die bekannte russischen Gruppe APT29. FireEye nennt sie neutral "UNC2452" ohne einen Link zu Russland oder APT29 herzustellen.

In Medien lassen sich anonym bleibende Quellen bereits verlauten, es sei bis jetzt womöglich erst die Spitze des Eisbergs bekannt.

Die russische Botschaft in Washington wies gegenüber dem 'Wall Street Journal' die Verantwortung zurück und sagte, die Anschuldigungen seien "unbegründete Versuche der US-Medien, Russland die Schuld zu geben".