FireEye bestätigt Hackerangriffe auf US-Ministerien

FireEye hat Berichte diverser US-Medien bestätigt, wonach Hacker mit Unterstützung eines Nationalstaats unter anderem das US-Finanzministerium und auch das Handelsministerium angegriffen haben. Die Täter, die zumindest laut Washington Post der russischen Regierung nahestehen sollen, nutzten für ihre Einbrüche eine zuvor mit Malware verseuchte Sicherheitssoftware des US-Anbieters SolarWinds.

Von den Attacken berichteten am Sonntag die Agentur Reuters, die Washington Post und das Wall Street Journal. Laut Reuters waren die Vorfälle so schwerwiegend, dass sich am Samstag der National Sicherheitsrat des Weißen Hauses einberufen wurde. Quellen der Washington Post wiederum erklärten, hinter den Einbrüchen stecke die als APT29 bezeichnete Hackergruppe, die in Sicherheitskreisen dem russischen Auslandsgeheimdienst SVR zugeordnet wird.

FireEye wollte indes die Zuordnung zu APT29 nicht bestätigen. Stattdessen bezeichnete das Unternehmen die Hintermänner als UNC2452. FireEye räumte zudem ein, es selbst ebenfalls über die präparierte Orion-Software von SolarWinds gehackt wurde. Quellen aus der Cybersecurity-Community bestätigten jedoch gegenüber ZDNet USA, dass anhand der derzeit vorliegenden Beweise die Attacken der APT29-Gruppe zugeschrieben werden.

Am Sonntag äußerte sich auch SolarWinds mit einer Pressemitteilung zu den Vorfällen und bestätige den Angriff auf seine Software-Plattform Orion. Sie wird benutzt, um IT-Ressourcen wie Server, Workstations, mobile Geräte und IoT-Geräte in einem großen Netzwerk zu überwachen und zu verwalten. Die zwischen März 2020 und Juni 2020 veröffentlichten Versionen 2019.4 bis 2020.21 seien von Hackern mit Schadsoftware infiziert worden.

FireEye bezeichnet die Malware als Sunburst, Microsoft als Solorigate. Auf GitHub stellte FireEye zudem Regeln für die Erkennung der Schadsoftware bereit. Auch eine technische Analyse des Schädlings ist seit Sonntag verfügbar. Wie viele Opfer es insgesamt gibt, ist indes nicht bekannt.

Entgegen den ersten Medienberichten ist die Kampagne offenbar nicht ausschließlich auf die USA ausgerichtet. FireEye spricht von „weit verbreiteten“ Angriffen, die „öffentliche und private Organisationen“ weltweit betreffen. „Zu den Opfern gehören Unternehmen aus den Bereichen Regierung, Beratung, Technologie, Telekommunikation und Rohstoffförderung in Nordamerika, Europa, Asien und dem Nahen Osten. Wir gehen davon aus, dass es weitere Opfer in anderen Ländern und Branchen gibt“, teilte FireEye mit.

Derzeit liegt noch kein Update für die kompromittierte SolarWinds-Software vor. Es soll am Dienstag erscheinen. Nutzer sollten dann zeitnah auf die Version 2020.2.1 HF 2 Ausschau halten. Nach Angaben des Unternehmens ersetzt das Update nicht nur die kompromittierten Komponenten, es soll auch zusätzliche Sicherheitsfunktionen bieten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago