FireEye bestätigt Hackerangriffe auf US-Ministerien

FireEye hat Berichte diverser US-Medien bestätigt, wonach Hacker mit Unterstützung eines Nationalstaats unter anderem das US-Finanzministerium und auch das Handelsministerium angegriffen haben. Die Täter, die zumindest laut Washington Post der russischen Regierung nahestehen sollen, nutzten für ihre Einbrüche eine zuvor mit Malware verseuchte Sicherheitssoftware des US-Anbieters SolarWinds.

Von den Attacken berichteten am Sonntag die Agentur Reuters, die Washington Post und das Wall Street Journal. Laut Reuters waren die Vorfälle so schwerwiegend, dass sich am Samstag der National Sicherheitsrat des Weißen Hauses einberufen wurde. Quellen der Washington Post wiederum erklärten, hinter den Einbrüchen stecke die als APT29 bezeichnete Hackergruppe, die in Sicherheitskreisen dem russischen Auslandsgeheimdienst SVR zugeordnet wird.

FireEye wollte indes die Zuordnung zu APT29 nicht bestätigen. Stattdessen bezeichnete das Unternehmen die Hintermänner als UNC2452. FireEye räumte zudem ein, es selbst ebenfalls über die präparierte Orion-Software von SolarWinds gehackt wurde. Quellen aus der Cybersecurity-Community bestätigten jedoch gegenüber ZDNet USA, dass anhand der derzeit vorliegenden Beweise die Attacken der APT29-Gruppe zugeschrieben werden.

Am Sonntag äußerte sich auch SolarWinds mit einer Pressemitteilung zu den Vorfällen und bestätige den Angriff auf seine Software-Plattform Orion. Sie wird benutzt, um IT-Ressourcen wie Server, Workstations, mobile Geräte und IoT-Geräte in einem großen Netzwerk zu überwachen und zu verwalten. Die zwischen März 2020 und Juni 2020 veröffentlichten Versionen 2019.4 bis 2020.21 seien von Hackern mit Schadsoftware infiziert worden.

FireEye bezeichnet die Malware als Sunburst, Microsoft als Solorigate. Auf GitHub stellte FireEye zudem Regeln für die Erkennung der Schadsoftware bereit. Auch eine technische Analyse des Schädlings ist seit Sonntag verfügbar. Wie viele Opfer es insgesamt gibt, ist indes nicht bekannt.

Entgegen den ersten Medienberichten ist die Kampagne offenbar nicht ausschließlich auf die USA ausgerichtet. FireEye spricht von „weit verbreiteten“ Angriffen, die „öffentliche und private Organisationen“ weltweit betreffen. „Zu den Opfern gehören Unternehmen aus den Bereichen Regierung, Beratung, Technologie, Telekommunikation und Rohstoffförderung in Nordamerika, Europa, Asien und dem Nahen Osten. Wir gehen davon aus, dass es weitere Opfer in anderen Ländern und Branchen gibt“, teilte FireEye mit.

Derzeit liegt noch kein Update für die kompromittierte SolarWinds-Software vor. Es soll am Dienstag erscheinen. Nutzer sollten dann zeitnah auf die Version 2020.2.1 HF 2 Ausschau halten. Nach Angaben des Unternehmens ersetzt das Update nicht nur die kompromittierten Komponenten, es soll auch zusätzliche Sicherheitsfunktionen bieten.