Weitere Opfer und Details des riesigen Supply-Chain-Hacks bekannt

15. Dezember 2020 um 13:19
image

Der höchst raffinierte Solarwinds-Orion-Hack auf US-Behörden weitet sich global aus. Es könnten 18'000 Kunden Backdoors haben.

Das Ausmass des grossen Supply-Chain-Hacks von US-Behörden wurde deutlicher, als einige Beamte der Trump-Administration nun einräumten, dass auch andere Bundesbehörden – das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons – kompromittiert worden waren. Und nicht "nur" das US-Finanzministerium und die National Telecommunications and Information Administration und weitere Behörden und Firmen.
Dies meldet die 'New York Times' (Paywall).
Die US-Ermittler wissen laut der Zeitung noch nicht, wie stark das Militär, die Geheimdienste und die Atomlabors von dem hochentwickelten Angriff betroffen waren.

Raffinierte Angriffsmethode

Es erweist sich immer mehr, dass dies ein bemerkenswert raffiniert ausgeführter Angriff war. Dabei wurde das weit verbreitete IT-Management-Tool Orion von Solarwinds in einem ersten Schritt als "Penetrations-Mechanismus" kompromittiert. Anschliessend wurden die Authentifizierungskontrollen ausgehebelt und die Hacker migrierten zumindest in einige Cloud-Services, insbesondere in Office 365 der Behörden.
Es ist nicht bekannt, ob nur E-Mail-Verkehr ausspioniert wurde, wie einige Medien berichten, oder auch weitere Daten abflossen. Das 'Wall Street Journal' (Paywall) meldet, die Hacker seien jedenfalls über Monate hinweg unentdeckt geblieben. Solarwinds selbst sagt, dass die Backdoor zwischen März und Juni 2020 in ihre Orion-Updates implantiert worden sei.
Solarwinds sagt in einer offiziellen Meldung, dass 18'000 Kunden die Updates mit den Backdoors heruntergeladen hätten (PDF). Die Firma hat laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
In jedem Falle liegt es in der Natur der Solarwinds-Produkte, dass sie privilegierten Zugang in Netzwerken von grossen Organisationen haben. Orion wird eingesetzt für das Management von Routern, Switches und anderen Netzwerk-Devices.

In Windows-Patch eingeschleust

Die Security-Firma Fireeye schreibt dazu: "Die trojanisierte Update-Datei ist eine standardmässige Windows Installer Patch-Datei, die komprimierte Ressourcen enthält, die mit dem Update verbunden sind, einschliesslich der trojanisierten Komponente Solarwinds.Orion.Core.BusinessLayer.dll. Ist der Update einmal installiert, wird er mit den normalen Solarwinds-exe-Files geladen und nach 2 Wochen 'Schlaf' aktiv."
Microsoft erklärt weitere Details der eigenen Untersuchungen und hält gleichzeitig fest: "Wir möchten unseren Kunden auch versichern, dass wir bei diesen Untersuchungen keine Schwachstellen in Microsoft-Produkten oder Cloud-Diensten festgestellt haben."
Stellt sich die Frage, wie die Angreifer den Hack von Solarwinds geschafft haben. Die Firma selbst schreibt in der offiziellen Meldung, dass das Office-365-Konto von Solarwinds gehackt wurde und auf seine E-Mails zugegriffen wurde, was möglicherweise zum Einschleusen der Backdoor führte: "Solarwinds nutzt Microsoft Office 365 für seine E-Mail- und Office-Produktivitäts-Tools. Solarwinds wurde auf einen Angriffsvektor aufmerksam gemacht, der verwendet wurde, um die E-Mails des Unternehmens zu kompromittieren, und der möglicherweise den Zugriff auf andere Daten ermöglichte, die in den Office-Produktivitätstools des Unternehmens enthalten sind."
Inzwischen hält Solarwinds für die Kunden ein Security Advisory bereit für die sicher betroffenen Orion-Versionen Orion Platform v2020.2 und Orion Platform v2019.4 HF 5 und 2019.4 HF 6. "Es ist nicht bekannt, ob andere Versionen von Orion-Platform-Produkten von dieser Sicherheitslücke betroffen sind. Auch von anderen Produkten ausser Orion ist nicht bekannt, dass sie von dieser Sicherheitslücke betroffen sind."

Waren es die Russen?

Inzwischen hat die Backdoor den Namen SUNBURST beziehungsweise Solorigate erhalten, meldet 'Bleeping Computer'. Microsoft wie Solarwinds und Fireeye gehen von staatlichen Hackern aus, die USA verdächtigen konkret die russische Gruppe APT29, die auch als Cozy Bear bezeichnet wird.
Russland dementiert jedenfalls jegliche Beteiligung.
Derweil meldet 'Ars Technica', das Security-Unternehmen Volexity habe schon früher einen vergleichbaren und ebenso raffinierten Hack festgestellt. Damals sei die 2-Faktor-Authentifizierung von Duo Security überwunden und der Angriff via die Outlook Web Application ausgeführt worden. Die Angreifer – Dark Halo genannt – seien möglicherweise lange nicht entdeckt worden und seien bis anhin nicht mit Russland in Verbindung gebracht worden.

Loading

Mehr erfahren

Mehr zum Thema

image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024
image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.