Die monatelange Hacking-Kampagne gegen Solarwinds, die vor allem US-Regierungsbehörden sowie Cybersecurity-Anbieter betraf, war „der größte und raffinierteste Angriff, den die Welt je gesehen hat“, so Microsoft President Brad Smith in der Sendung 60 Minutes des US-Fernsehsenders CBS.
Der Angriff, der von der Sicherheitsfirma FireEye und Microsoft im Dezember aufgedeckt wurde, könnte bis zu 18.000 Organisationen betroffen haben, da die Malware Sunburst (oder Solorigate) in die Netzwerkmanagement-Software Orion von SolarWinds eingeschleust wurde.
Microsoft, das ebenfalls durch das fehlerhafte Orion-Update angegriffen wurde, setzte 500 Ingenieure ein, um den Angriff zu untersuchen, erklärte Smith. Aber das (wahrscheinlich von Russland unterstützte) Team hinter dem Angriff hatte laut den Redmondern mehr als doppelt so viele technische Ressourcen. „Als wir alles analysierten, was wir bei Microsoft sahen, fragten wir uns, wie viele Entwickler wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir kamen, war, naja, sicherlich mehr als 1.000″, sagte Smith.
Zu den US-Behörden, die nachweislich von den Angriffen betroffen waren, gehören das US-Finanzministerium, die Cybersecurity and Infrastructure Agency (CISA), das Department of Homeland Security (DHS) sowie das US-Außenministerium und das US-Energieministerium (DOE). Laut einem Bericht der Frankfurter Allgemeinen Zeitung waren auch 15 deutsche Bundesbehörden und ein Ministerium betroffen.
Smith hat bereits zuvor Alarm Angriff geschlagen, dass von einer ausländischen Regierung unterstützte Cyber-Angreifer ein Risiko für die Wirtschaft darstellen, weil sie sich auf die Technologie-Lieferkette konzentrieren.
„Während Regierungen sich seit Jahrhunderten gegenseitig ausspionieren, haben die jüngsten Angreifer eine Technik verwendet, die die Technologie-Lieferkette für die breitere Wirtschaft gefährdet“, erklärte Smith. Es handle sich um einen Angriff „auf das Vertrauen und die Zuverlässigkeit der kritischen Infrastruktur der Welt.“ Smith betonte gegenüber 60 Minutes, dass die Angreifer nur 4.032 Zeilen Code innerhalb von Orion umgeschrieben haben, das aus Millionen von Codezeilen besteht.
Kevin Mandia, CEO von FireEye, erläuterte ebenfalls, wie die Angreifer einen Alarm auslösten, aber erst nachdem die Angreifer ein zweites Smartphone, das mit dem Konto eines FireEye-Mitarbeiters verbunden war, erfolgreich für das Zwei-Faktor-Authentifizierungssystem angemeldet hatten. Die Mitarbeiter benötigen diesen Zwei-Faktor-Code, um sich aus der Ferne in das Virtual Private Network (VPN) des Unternehmens einzuloggen. „Wie jeder, der von zu Hause aus arbeitet, nutzen wir eine Zwei-Faktor-Authentifizierung“, sagte Mandia.
„Ein Code wird auf unserem Telefon angezeigt. Wir müssen diesen Code eintippen. Und dann können wir uns einloggen. Ein FireEye-Mitarbeiter meldete sich an, aber der Unterschied war, dass unser Sicherheitspersonal sich die Anmeldung ansah und feststellte, dass diese Person zwei Telefone auf ihren Namen registriert hatte. Also rief unser Sicherheitsmitarbeiter diese Person an und wir fragten: „Hey, haben Sie tatsächlich ein zweites Gerät in unserem Netzwerk registriert?“ Die Antwort des Mitarbeiters: „Nein. Das war ich nicht.”
Charles Carmakal, Senior Vice President und Chief Technology Officer bei FireEyes Incident-Response-Team Mandiant, hatte zuvor gegenüber Yahoo News erklärt, dass das Sicherheitssystem von FireEye den Mitarbeiter und das Sicherheitsteam des Unternehmens auf das unbekannte Gerät aufmerksam gemacht hatte, das angeblich dem Mitarbeiter gehörte.
Die Angreifer hatten sich über das SolarWinds-Update Zugriff auf den Benutzernamen und das Passwort des Mitarbeiters verschafft. Mit diesen Anmeldedaten konnten die Angreifer das Gerät im Zwei-Faktor-Authentifizierungssystem des Unternehmens anmelden.
Die Orion-Updates waren nicht die einzige Methode, mit der Unternehmen während der Kampagne infiltriert wurden, denn die Hacker verschafften sich auch Zugang zu Cloud-Anwendungen. Einem Bericht des Wall Street Journal zufolge hatten 30 Prozent der angegriffenen Unternehmen keine direkte Verbindung zu Solar Winds.
So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Neueste Kommentare
1 Kommentar zu Microsoft: SolarWinds-Angriff mit mehr als 1.000 Hackern
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Schade dass eine Computermedium wie ZDNet solche Berichtte eifach übernimmt. 100 Hacker und jeder schreibt 4 Zeilen. Ganz vergessen die 100 Supervisor welche so viele „Schnipsel“ koordinieren.
Was aber noch wichtiger ist, das Weglassen der Info dass sein November 2019 aies gemeldet wurde. Bis zum Veröffentlichungstag des Hacks war das schadhafte Packet zum Download bereitgestellt. Scintific hacking mit Passwort „solarwind123“. Ach lest doch einfach den KrebsOnlineSecurity Bolg dazu.