Solarwinds-Hack: Gegenmassnahmen und fragwürdige Aktienverkäufe

16. Dezember 2020, 14:20
image

Investoren haben Solarwinds-Aktien abgestossen ‒ wenige Tage bevor der Hack bekannt wurde. Und Microsoft hat einen C&C-Server beschlagnahmen können.

Noch ist nicht klar, welches Ausmass der mittlerweile "Sunburst" genannte Cyberangriff hat, der durch einen Supply-Chain-Hack auf den Software-Hersteller Solarwinds ermöglicht wurde. Wie wir bereits gestern berichtet haben, sind in den USA unter anderem das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons dadurch kompromittiert worden. Zudem könnten weltweit auch 18'000 andere Solarwinds-Kunden, die mit den Backdoors versehene Updates für Solarwinds Orion heruntergeladen haben, betroffen sein. Darunter könnten sich auch Schweizer Unternehmen wie CS, Cablecom oder Swisscom befinden.
Konkrete neue informationen zu weiteren Opfern sind allerdings seit gestern nicht aufgetaucht. Dafür ist eine zumindest verdächtig erscheinende Aktion der Investmentfirmen Silver Lake und Thoma Bravo, die beide zu den Grossaktionären von Solarwinds gehören, ans Licht gekommen. Laut der 'Washington Post' haben sie am 7. Dezember, eine Woche bevor der Hack öffentlich bekannt wurde, Solarwinds-Aktien im Wert von 286 Millionen Dollar verkauft. Der Aktienkurs von Solarwinds ist seit dem Bekanntwerden des Vorfalls um rund ein Viertel abgesackt.
Ein schräges Licht auf Solarwinds wirft auch ein Bericht  von 'The Register'.   Demnach hat ein Security-Forscher vor rund einem Jahr in einem öffentlich zugänglichen Github-Repository im Klartext das Passwort für den Update-Server von Solarwinds gefunden. Darüber hinaus war es ein äusserst geniales Passwort: "Solarwinds123". Nach der Warnung des Security-Forschers habe Solarwinds das Problem zwar sofort behoben, aber das Passwort sei rund zwei bis drei Wochen lang  offen zugänglich gewesen.
Derweil hat unter anderem Microsoft einige Massnahmen getroffen, um betroffene Solarwinds-Kunden zu schützen. Der Microsoft Defender wurde um entsprechende Signaturen erweitert und soll nun ab heute, dem 16. Dezember, kompromittierte Solarwinds-Orion-Dateien erkennen und in Quarantäne stellen. Microsoft hat zudem einige Empfehlungen dafür, wie man mit betroffenen Devices umgehen sollte. Die Massnahme des Softwareriesen könnte allerdings nicht allen Kunden gefallen. Microsoft selbst erwartet, dass die Quarantäne einige Netzwerk-Monitoring-Tools zum Absturz bringen wird.
Microsoft ist es zudem gemäss 'ZDnet' zusammen mit anderen Tech-Unternehmen gelungen, die Domain des Command-and-Control-Servers (C&C) der Malware, die von den Solarwinds-Angreifern in die Systeme ihrer Opfer eingepflanzt wurde, zu beschlagnahmen und vom Netz zu nehmen. Einerseits könnte es dies erlauben, alle Opfer zu identifizieren und zu warnen. Möglicherweise könnte es auch gelingen, die Angreifer daran zu hindern, sich weiter in infizierten Systemen auszubreiten.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

ChatGPT wächst so schnell wie keine andere App

Der KI-Chatbot bricht Rekorde und verzeichnet 100 Millionen aktive Nutzer innert nur 2 Monaten. Nun soll bald ein Abo-Modell eingeführt werden.

publiziert am 2.2.2023