FireEye hat Berichte diverser US-Medien bestätigt, wonach Hacker mit Unterstützung eines Nationalstaats unter anderem das US-Finanzministerium und auch das Handelsministerium angegriffen haben. Die Täter, die zumindest laut Washington Post der russischen Regierung nahestehen sollen, nutzten für ihre Einbrüche eine zuvor mit Malware verseuchte Sicherheitssoftware des US-Anbieters SolarWinds.
FireEye wollte indes die Zuordnung zu APT29 nicht bestätigen. Stattdessen bezeichnete das Unternehmen die Hintermänner als UNC2452. FireEye räumte zudem ein, es selbst ebenfalls über die präparierte Orion-Software von SolarWinds gehackt wurde. Quellen aus der Cybersecurity-Community bestätigten jedoch gegenüber ZDNet USA, dass anhand der derzeit vorliegenden Beweise die Attacken der APT29-Gruppe zugeschrieben werden.
Am Sonntag äußerte sich auch SolarWinds mit einer Pressemitteilung zu den Vorfällen und bestätige den Angriff auf seine Software-Plattform Orion. Sie wird benutzt, um IT-Ressourcen wie Server, Workstations, mobile Geräte und IoT-Geräte in einem großen Netzwerk zu überwachen und zu verwalten. Die zwischen März 2020 und Juni 2020 veröffentlichten Versionen 2019.4 bis 2020.21 seien von Hackern mit Schadsoftware infiziert worden.
FireEye bezeichnet die Malware als Sunburst, Microsoft als Solorigate. Auf GitHub stellte FireEye zudem Regeln für die Erkennung der Schadsoftware bereit. Auch eine technische Analyse des Schädlings ist seit Sonntag verfügbar. Wie viele Opfer es insgesamt gibt, ist indes nicht bekannt.
Entgegen den ersten Medienberichten ist die Kampagne offenbar nicht ausschließlich auf die USA ausgerichtet. FireEye spricht von „weit verbreiteten“ Angriffen, die „öffentliche und private Organisationen“ weltweit betreffen. „Zu den Opfern gehören Unternehmen aus den Bereichen Regierung, Beratung, Technologie, Telekommunikation und Rohstoffförderung in Nordamerika, Europa, Asien und dem Nahen Osten. Wir gehen davon aus, dass es weitere Opfer in anderen Ländern und Branchen gibt“, teilte FireEye mit.
Derzeit liegt noch kein Update für die kompromittierte SolarWinds-Software vor. Es soll am Dienstag erscheinen. Nutzer sollten dann zeitnah auf die Version 2020.2.1 HF 2 Ausschau halten. Nach Angaben des Unternehmens ersetzt das Update nicht nur die kompromittierten Komponenten, es soll auch zusätzliche Sicherheitsfunktionen bieten.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…