Auch Microsoft vom Hackerangriff auf Solarwinds betroffen

Microsoft hat gegenüber Reuters bestätigt, dass es ebenfalls die mit Malware verseuchte Version der Orion-Software von SolarWinds in seinen Systemen eingesetzt hat. Das Unternehmen widerspricht jedoch den Quellen der Nachrichtenagentur, wonach Microsofts eigene Produkte benutzt wurden, um Angriffe gegen andere Unternehmen voranzutreiben.

„Wie andere SolarWinds-Kunden haben auch wir aktiv nach Indikatoren für diesen Angreifer gesucht und können bestätigen, dass wir bösartige SolarWinds-Binärdateien in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben“, teilte der Softwarekonzern mit. „Wir haben keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten gefunden. Unsere Untersuchungen, die noch andauern, haben absolut keine Hinweise darauf geliefert, dass unsere Systeme für Angriffe auf andere genutzt wurden.“

Welche Produkte von Microsoft gegen Kunden des Unternehmens eingesetzt worden sein sollen, teilten die laut Reuters mit den Ermittlungen vertrauten Quellen nicht mit. SolarWinds hatte lediglich in einer Börsenpflichtmeldung eingeräumt, dass Office-365-Konten des Unternehmens kompromittiert wurden und dass es durch Microsoft auf den Missbrauch aufmerksam gemacht worden sei.

Unabhängig von einer möglichen weiteren Verwicklung Microsofts wurden weitere Opfer des Hackerangriffs bekannt, hinter dem mutmaßlich die APT29 genannte Gruppe steht, die dem russischen Auslandsgeheimdienst SVR zugeordnet wird. So sollen über die gehackte und mit Schadsoftware versehene SolarWinds-Software auch Systeme des US Department of Energy (DOE), der Stadt Austin in Bundesstaat Texas sowie der National Nuclear Security Administration (NNSA) geknackt worden sein. Die zum DOE gehörende Behörde verwaltet unter anderem das Atomwaffenarsenal der USA.

Indes wurden weitere Details über den Angriff auf SolarWinds bekannt. Reuters zufolge stellte der Sicherheitsexperte Kyle Hanslovan, Gründer des Sicherheitsanbieters Huntress, fest, dass auch mehrere Tage nachdem SolarWinds den Einbruch in seine Systeme entdeckt hatte, die präparierten Updates immer noch auf seinen Servern verfügbar waren.

Unklar ist weiterhin, wie es den Hackern gelungen ist, die Update-Server von Solarwinds zu kompromittieren, um darüber mit Schadsoftware verseuchte Software zu verbreiten – über einen Zeitraum von mehreren Monaten. Einen möglichen Hinweis lieferte der Sicherheitsforscher Vinoth Kumar. Er erklärte gegenüber Reuters, er habe schon im vergangenen Jahr SolarWinds auf das sehr schwache Passwort „solarwinds123“ für seine Update-Server aufmerksam gemacht.