Microsoft: SolarWinds-Angriff mit mehr als 1.000 Hackern

Die monatelange Hacking-Kampagne gegen Solarwinds, die vor allem US-Regierungsbehörden sowie Cybersecurity-Anbieter betraf, war „der größte und raffinierteste Angriff, den die Welt je gesehen hat“, so Microsoft President Brad Smith in der Sendung 60 Minutes des US-Fernsehsenders CBS.

Der Angriff, der von der Sicherheitsfirma FireEye und Microsoft im Dezember aufgedeckt wurde, könnte bis zu 18.000 Organisationen betroffen haben, da die Malware Sunburst (oder Solorigate) in die Netzwerkmanagement-Software Orion von SolarWinds eingeschleust wurde.

Microsoft, das ebenfalls durch das fehlerhafte Orion-Update angegriffen wurde, setzte 500 Ingenieure ein, um den Angriff zu untersuchen, erklärte Smith. Aber das (wahrscheinlich von Russland unterstützte) Team hinter dem Angriff hatte laut den Redmondern mehr als doppelt so viele technische Ressourcen. „Als wir alles analysierten, was wir bei Microsoft sahen, fragten wir uns, wie viele Entwickler wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir kamen, war, naja, sicherlich mehr als 1.000″, sagte Smith.

Zu den US-Behörden, die nachweislich von den Angriffen betroffen waren, gehören das US-Finanzministerium, die Cybersecurity and Infrastructure Agency (CISA), das Department of Homeland Security (DHS) sowie das US-Außenministerium und das US-Energieministerium (DOE). Laut einem Bericht der Frankfurter Allgemeinen Zeitung waren auch 15 deutsche Bundesbehörden und ein Ministerium betroffen.

Smith hat bereits zuvor Alarm Angriff geschlagen, dass von einer ausländischen Regierung unterstützte Cyber-Angreifer ein Risiko für die Wirtschaft darstellen, weil sie  sich auf die Technologie-Lieferkette konzentrieren.

„Während Regierungen sich seit Jahrhunderten gegenseitig ausspionieren, haben die jüngsten Angreifer eine Technik verwendet, die die Technologie-Lieferkette für die breitere Wirtschaft gefährdet“, erklärte Smith. Es handle sich um einen Angriff „auf das Vertrauen und die Zuverlässigkeit der kritischen Infrastruktur der Welt.“ Smith betonte gegenüber 60 Minutes, dass die Angreifer nur 4.032 Zeilen Code innerhalb von Orion umgeschrieben haben, das aus Millionen von Codezeilen besteht.

Kevin Mandia, CEO von FireEye, erläuterte ebenfalls, wie die Angreifer einen Alarm auslösten, aber erst nachdem die Angreifer ein zweites Smartphone, das mit dem Konto eines FireEye-Mitarbeiters verbunden war, erfolgreich für das Zwei-Faktor-Authentifizierungssystem angemeldet hatten. Die Mitarbeiter benötigen diesen Zwei-Faktor-Code, um sich aus der Ferne in das Virtual Private Network (VPN) des Unternehmens einzuloggen. „Wie jeder, der von zu Hause aus arbeitet, nutzen wir eine Zwei-Faktor-Authentifizierung“, sagte Mandia.

„Ein Code wird auf unserem Telefon angezeigt. Wir müssen diesen Code eintippen. Und dann können wir uns einloggen. Ein FireEye-Mitarbeiter meldete sich an, aber der Unterschied war, dass unser Sicherheitspersonal sich die Anmeldung ansah und feststellte, dass diese Person zwei Telefone auf ihren Namen registriert hatte. Also rief unser Sicherheitsmitarbeiter diese Person an und wir fragten: „Hey, haben Sie tatsächlich ein zweites Gerät in unserem Netzwerk registriert?“ Die Antwort des  Mitarbeiters: „Nein. Das war ich nicht.”

Charles Carmakal, Senior Vice President und Chief Technology Officer bei FireEyes Incident-Response-Team Mandiant, hatte zuvor gegenüber Yahoo News erklärt, dass das Sicherheitssystem von FireEye den Mitarbeiter und das Sicherheitsteam des Unternehmens auf das unbekannte Gerät aufmerksam gemacht hatte, das angeblich dem Mitarbeiter gehörte.

Die Angreifer hatten sich über das SolarWinds-Update Zugriff auf den Benutzernamen und das Passwort des Mitarbeiters verschafft. Mit diesen Anmeldedaten konnten die Angreifer das Gerät im Zwei-Faktor-Authentifizierungssystem des Unternehmens anmelden.

Die Orion-Updates waren nicht die einzige Methode, mit der Unternehmen während der Kampagne infiltriert wurden, denn die Hacker verschafften sich auch Zugang zu Cloud-Anwendungen. Einem Bericht des Wall Street Journal zufolge hatten 30 Prozent der angegriffenen Unternehmen keine direkte Verbindung zu Solar Winds.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

15 Stunden ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

1 Tag ago

Hacker setzen neuartige Infostealer gegen Unternehmen ein

Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…

2 Tagen ago

KI-gestützte Betrugserkennung

Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…

2 Tagen ago

Europäischer Smartphonemarkt wächst zehn Prozent im ersten Quartal

Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…

2 Tagen ago

Megawatt-Kühlung für KI

Rittal hat eine neue Kühllösung vorgestellt, die über 1 Megawatt Kühlleistung erbringt und den Weg…

2 Tagen ago