Weitere Opfer und Details des riesigen Supply-Chain-Hacks bekannt

15. Dezember 2020 um 13:19
image

Der höchst raffinierte Solarwinds-Orion-Hack auf US-Behörden weitet sich global aus. Es könnten 18'000 Kunden Backdoors haben.

Das Ausmass des grossen Supply-Chain-Hacks von US-Behörden wurde deutlicher, als einige Beamte der Trump-Administration nun einräumten, dass auch andere Bundesbehörden – das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons – kompromittiert worden waren. Und nicht "nur" das US-Finanzministerium und die National Telecommunications and Information Administration und weitere Behörden und Firmen.
Dies meldet die 'New York Times' (Paywall).
Die US-Ermittler wissen laut der Zeitung noch nicht, wie stark das Militär, die Geheimdienste und die Atomlabors von dem hochentwickelten Angriff betroffen waren.

Raffinierte Angriffsmethode

Es erweist sich immer mehr, dass dies ein bemerkenswert raffiniert ausgeführter Angriff war. Dabei wurde das weit verbreitete IT-Management-Tool Orion von Solarwinds in einem ersten Schritt als "Penetrations-Mechanismus" kompromittiert. Anschliessend wurden die Authentifizierungskontrollen ausgehebelt und die Hacker migrierten zumindest in einige Cloud-Services, insbesondere in Office 365 der Behörden.
Es ist nicht bekannt, ob nur E-Mail-Verkehr ausspioniert wurde, wie einige Medien berichten, oder auch weitere Daten abflossen. Das 'Wall Street Journal' (Paywall) meldet, die Hacker seien jedenfalls über Monate hinweg unentdeckt geblieben. Solarwinds selbst sagt, dass die Backdoor zwischen März und Juni 2020 in ihre Orion-Updates implantiert worden sei.
Solarwinds sagt in einer offiziellen Meldung, dass 18'000 Kunden die Updates mit den Backdoors heruntergeladen hätten (PDF). Die Firma hat laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
In jedem Falle liegt es in der Natur der Solarwinds-Produkte, dass sie privilegierten Zugang in Netzwerken von grossen Organisationen haben. Orion wird eingesetzt für das Management von Routern, Switches und anderen Netzwerk-Devices.

In Windows-Patch eingeschleust

Die Security-Firma Fireeye schreibt dazu: "Die trojanisierte Update-Datei ist eine standardmässige Windows Installer Patch-Datei, die komprimierte Ressourcen enthält, die mit dem Update verbunden sind, einschliesslich der trojanisierten Komponente Solarwinds.Orion.Core.BusinessLayer.dll. Ist der Update einmal installiert, wird er mit den normalen Solarwinds-exe-Files geladen und nach 2 Wochen 'Schlaf' aktiv."
Microsoft erklärt weitere Details der eigenen Untersuchungen und hält gleichzeitig fest: "Wir möchten unseren Kunden auch versichern, dass wir bei diesen Untersuchungen keine Schwachstellen in Microsoft-Produkten oder Cloud-Diensten festgestellt haben."
Stellt sich die Frage, wie die Angreifer den Hack von Solarwinds geschafft haben. Die Firma selbst schreibt in der offiziellen Meldung, dass das Office-365-Konto von Solarwinds gehackt wurde und auf seine E-Mails zugegriffen wurde, was möglicherweise zum Einschleusen der Backdoor führte: "Solarwinds nutzt Microsoft Office 365 für seine E-Mail- und Office-Produktivitäts-Tools. Solarwinds wurde auf einen Angriffsvektor aufmerksam gemacht, der verwendet wurde, um die E-Mails des Unternehmens zu kompromittieren, und der möglicherweise den Zugriff auf andere Daten ermöglichte, die in den Office-Produktivitätstools des Unternehmens enthalten sind."
Inzwischen hält Solarwinds für die Kunden ein Security Advisory bereit für die sicher betroffenen Orion-Versionen Orion Platform v2020.2 und Orion Platform v2019.4 HF 5 und 2019.4 HF 6. "Es ist nicht bekannt, ob andere Versionen von Orion-Platform-Produkten von dieser Sicherheitslücke betroffen sind. Auch von anderen Produkten ausser Orion ist nicht bekannt, dass sie von dieser Sicherheitslücke betroffen sind."

Waren es die Russen?

Inzwischen hat die Backdoor den Namen SUNBURST beziehungsweise Solorigate erhalten, meldet 'Bleeping Computer'. Microsoft wie Solarwinds und Fireeye gehen von staatlichen Hackern aus, die USA verdächtigen konkret die russische Gruppe APT29, die auch als Cozy Bear bezeichnet wird.
Russland dementiert jedenfalls jegliche Beteiligung.
Derweil meldet 'Ars Technica', das Security-Unternehmen Volexity habe schon früher einen vergleichbaren und ebenso raffinierten Hack festgestellt. Damals sei die 2-Faktor-Authentifizierung von Duo Security überwunden und der Angriff via die Outlook Web Application ausgeführt worden. Die Angreifer – Dark Halo genannt – seien möglicherweise lange nicht entdeckt worden und seien bis anhin nicht mit Russland in Verbindung gebracht worden.

Loading

Mehr zum Thema

image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025
image

Erneuter Cyberangriff auf Winterthurer Top-Medien

Zum zweiten Mal innert Jahresfrist wurde das Medienhaus mit Ransomware attackiert. Der Sendebetrieb von Radio und Tele Top war beeinträchtigt.

publiziert am 3.2.2025
image

Swiss Cyber Security Days: Neue Technologien im Fokus

An zwei Tagen gibt es in über 100 Keynotes, Referaten und Panels Einblicke in die Welt der Cybersicherheit – von der Verteidigung und Strafverfolgung über Fragen zu KI und Quantensicherheit bis hin zum Schutz von Minderjährigen.

publiziert am 31.1.2025