Weitere Opfer und Details des riesigen Supply-Chain-Hacks bekannt

15. Dezember 2020, 13:19
image

Der höchst raffinierte Solarwinds-Orion-Hack auf US-Behörden weitet sich global aus. Es könnten 18'000 Kunden Backdoors haben.

Das Ausmass des grossen Supply-Chain-Hacks von US-Behörden wurde deutlicher, als einige Beamte der Trump-Administration nun einräumten, dass auch andere Bundesbehörden – das Aussenministerium, das Ministerium für Innere Sicherheit und Teile des Pentagons – kompromittiert worden waren. Und nicht "nur" das US-Finanzministerium und die National Telecommunications and Information Administration und weitere Behörden und Firmen.
Dies meldet die 'New York Times' (Paywall).
Die US-Ermittler wissen laut der Zeitung noch nicht, wie stark das Militär, die Geheimdienste und die Atomlabors von dem hochentwickelten Angriff betroffen waren.

Raffinierte Angriffsmethode

Es erweist sich immer mehr, dass dies ein bemerkenswert raffiniert ausgeführter Angriff war. Dabei wurde das weit verbreitete IT-Management-Tool Orion von Solarwinds in einem ersten Schritt als "Penetrations-Mechanismus" kompromittiert. Anschliessend wurden die Authentifizierungskontrollen ausgehebelt und die Hacker migrierten zumindest in einige Cloud-Services, insbesondere in Office 365 der Behörden.
Es ist nicht bekannt, ob nur E-Mail-Verkehr ausspioniert wurde, wie einige Medien berichten, oder auch weitere Daten abflossen. Das 'Wall Street Journal' (Paywall) meldet, die Hacker seien jedenfalls über Monate hinweg unentdeckt geblieben. Solarwinds selbst sagt, dass die Backdoor zwischen März und Juni 2020 in ihre Orion-Updates implantiert worden sei.
Solarwinds sagt in einer offiziellen Meldung, dass 18'000 Kunden die Updates mit den Backdoors heruntergeladen hätten (PDF). Die Firma hat laut unseren Informationen 30 Schweizer Konzerne als Kunden, allerdings weiss man nicht, ob sie ebenfalls Orion im Einsatz haben oder die Updates heruntergeladen haben.
In jedem Falle liegt es in der Natur der Solarwinds-Produkte, dass sie privilegierten Zugang in Netzwerken von grossen Organisationen haben. Orion wird eingesetzt für das Management von Routern, Switches und anderen Netzwerk-Devices.

In Windows-Patch eingeschleust

Die Security-Firma Fireeye schreibt dazu: "Die trojanisierte Update-Datei ist eine standardmässige Windows Installer Patch-Datei, die komprimierte Ressourcen enthält, die mit dem Update verbunden sind, einschliesslich der trojanisierten Komponente Solarwinds.Orion.Core.BusinessLayer.dll. Ist der Update einmal installiert, wird er mit den normalen Solarwinds-exe-Files geladen und nach 2 Wochen 'Schlaf' aktiv."
Microsoft erklärt weitere Details Microsoft erklärt weitere Details der eigenen Untersuchungen und hält gleichzeitig fest: "Wir möchten unseren Kunden auch versichern, dass wir bei diesen Untersuchungen keine Schwachstellen in Microsoft-Produkten oder Cloud-Diensten festgestellt haben."
Stellt sich die Frage, wie die Angreifer den Hack von Solarwinds geschafft haben. Die Firma selbst schreibt in der offiziellen Meldung, dass das Office-365-Konto von Solarwinds gehackt wurde und auf seine E-Mails zugegriffen wurde, was möglicherweise zum Einschleusen der Backdoor führte: "Solarwinds nutzt Microsoft Office 365 für seine E-Mail- und Office-Produktivitäts-Tools. Solarwinds wurde auf einen Angriffsvektor aufmerksam gemacht, der verwendet wurde, um die E-Mails des Unternehmens zu kompromittieren, und der möglicherweise den Zugriff auf andere Daten ermöglichte, die in den Office-Produktivitätstools des Unternehmens enthalten sind."
Inzwischen hält Solarwinds für die Kunden ein Security Advisory bereit für die sicher betroffenen Orion-Versionen Orion Platform v2020.2 und Orion Platform v2019.4 HF 5 und 2019.4 HF 6. "Es ist nicht bekannt, ob andere Versionen von Orion-Platform-Produkten von dieser Sicherheitslücke betroffen sind. Auch von anderen Produkten ausser Orion ist nicht bekannt, dass sie von dieser Sicherheitslücke betroffen sind."

Waren es die Russen?

Inzwischen hat die Backdoor den Namen SUNBURST beziehungsweise Solorigate erhalten, meldet 'Bleeping Computer'. Microsoft wie Solarwinds und Fireeye gehen von staatlichen Hackern aus, die USA verdächtigen konkret die russische Gruppe APT29, die auch als Cozy Bear bezeichnet wird.
Russland dementiert jedenfalls jegliche Beteiligung.
Derweil meldet 'Ars Technica', das Security-Unternehmen Volexity habe schon früher einen vergleichbaren und ebenso raffinierten Hack festgestellt. Damals sei die 2-Faktor-Authentifizierung von Duo Security überwunden und der Angriff via die Outlook Web Application ausgeführt worden. Die Angreifer – Dark Halo genannt – seien möglicherweise lange nicht entdeckt worden und seien bis anhin nicht mit Russland in Verbindung gebracht worden.

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Googles Suchfunktion erhält neue Features

Die visuelle Suche wurde verbessert und es gibt neu einen Suchoperator, mit dem sich Ergebnisse aus der unmittelbaren Umgebung anzeigen lassen.

publiziert am 29.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2