Solarwinds-Hack: noch eine Hintertür, noch ein Hackerteam

22. Dezember 2020, 14:56
image

Eine zweite Lücke, ein zweiter APT-Akteur, mehr Techkonzerne als Opfer. Der Angriff auf Solarwinds zieht immer weitere Kreise.

Die wahre Dimension des Solarwinds-Hacks zeigt sich zusehends. Unter den Opfern sollen nun auch die Technologieriesen Cisco, Intel, Nvidia, Belkin und VMware sein. Dies ergab zumindest eine Analyse des 'Wall Street Journals'. Schon vor einigen Tagen war bekannt geworden, dass Microsoft und FireEye von der Attacke betroffen sind.
Eine Hackergruppe, die mutmasslich im Auftrag einer ausländischen Regierung operiert, hatte die Security des Software-Anbieters Solarwinds in einer ausgeklügelten Attacke überwunden und ein mit Malware verseuchtes Update für dessen Orion-Software aufgespielt. Dies wurde Mitte Dezember bekannt. Primäres Ziel dieser "Sunburst" genannten Attacke waren vermutlich US-Behörden und Firmen, es gab aber weltweit Kollateralschäden zu beklagen. Potentiell betroffen: Bis zu 18'000 Kunden der Netzwerkmanagement-Plattform Solarwinds Orion.
Nach eigenen Angaben zählte Solarwinds in der Schweiz 2018 rund 30 Grossunternehmen als Kunden. Auf einer Liste, die mittlerweile von der Website der Firma entfernt wurde, macht Solarwinds unter anderem Werbung mit Nestle, Swisscom und Credit Suisse. Allerdings ist nicht bekannt, ob sie alle Orion einsetzen und das verseuchte Update heruntergeladen haben. Swisscom erklärte uns den Vorfall und die Gegenmassnahmen, andere potenziell betroffene Firmen wollten sich nicht äussern.
Cisco bestätigt nun Schadsoftware auf einigen Systemen von Mitarbeitenden und einer kleinen Anzahl von Laborsystemen gefunden zu haben. Es seien aber derzeit keine Auswirkungen auf Cisco-Angebote bekannt, erklärte der Netzwerkriese gegenüber dem 'Wall Street Journal' (Paywall).
Ähnlich klingt es bei Intel und VMware, die einen Befall von einigen Systemen bestätigen, aber keine Hinweise gefunden haben, dass die Infektion ausgenutzt worden sei. Auch Nvidia schätzt dies so ein und erklärt, dass die Untersuchungen noch laufen würden.

Die zweite Backdoor ist wohl unabhängig von der ersten

Es droht noch mehr Ungemach: So wurde neben Sunburst bei der Code-Analyse eine zweite Backdoor-Malware in Solarwinds Orion entdeckt, die nun Supernova getauft wurde. Die Entdecker sind der Meinung, dass diese von einer zweiten, ebenfalls professionellen Gruppe eingeschleust worden sei und zwar ganz unabhängig von der ersten. Dies geht aus einer Analyse von Microsoft hervor. Allerdings sei im Gegensatz zu Sunburst unklar, ob diese Schadsoftware auch tatsächlich gegen Kunden von Solarwinds eingesetzt worden sei, berichtet 'Reuters'.
War die Software zu schlecht geschützt? Das zumindest sagt nun Ian Thornton-Trump, ein ehemaliger Sicherheitsberater von Solarwinds. Er habe das Unternehmen vor Risiken gewarnt und einen Plan zur Verbesserung der Sicherheit vorgelegt, so der Manager zu 'Bloomberg'. Da die Geschäftsleitung nicht auf seine Vorschläge eingehen wollte, beendete er nach eigenen Angaben seine Beziehung zu Solarwinds.
Die Einschätzung wird von mehreren Cybersecurity-Forschern geteilt. Für Aufsehen sorgte im aktuellen Trubel auch, dass vor etwa einem Jahr zeitweise ein Passwort für einen Update-Server von Solarwinds öffentlich zugänglich war: "Solarwinds123". Aber selbst robuste Security-Massnahmen halten professionelle, staatlich unterstützte Hacker kaum ab.
"Wir sind bestrebt, angemessene Schutzmassnahmen, Prozesse und Verfahren zu implementieren und aufrechtzuerhalten, um unsere Kunden zu schützen", richtet sich Solarwinds-CEO Kevin Thompson in einem Video an die Kunden. Derzeit arbeite das Unternehmen mit externen Experten und den Strafverfolgern zusammen, um alle Informationen zu sammeln und auszuwerten.
Die Angreifer könnten noch in unzähligen Systemen stecken, zumal der Angriff seit Monaten durchgeführt wurde. Einige grosse Firmen, die solide Aufzeichnungen der Aktivitäten im System haben, könnten feststellen, ob die Hacker drin waren, sagt Dmitri Alperovitch, ein Cyber-Security-Experte und Mitbegründer der Denkfabrik Silverado Policy Accelerator zum 'Wall Street Journal'. Viele Firmen würden aber nie wissen, ob sie kompromittiert wurden und nach wie vor ausspioniert werden können.

Loading

Mehr zum Thema

image

All for One legt Schweizer Töchter zusammen

Die beiden SAP-Dienstleister Process-Partner und ASC werden zu All for One Switzerland.

publiziert am 29.9.2022
image

Geopolitische Lage dämpft Erwartungen der Schweizer ICT-Branche

Der Swico-Index zur Stimmung in der ICT-Branche ist erneut rückläufig. Die Anbieter glauben aber, dass sich die Auftragslage positiv entwickelt.

publiziert am 28.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022
image

Abra Software will nach Besitzerwechsel expandieren

Das Investment-Unternehmen Elvaston hat die Aktienmehrheit übernommen. Nun soll der ERP-Anbieter durch weitere Akquisitionen wachsen.

publiziert am 28.9.2022