Microsoft: SolarWinds-Angriff mit mehr als 1.000 Hackern

Die monatelange Hacking-Kampagne gegen Solarwinds, die vor allem US-Regierungsbehörden sowie Cybersecurity-Anbieter betraf, war „der größte und raffinierteste Angriff, den die Welt je gesehen hat“, so Microsoft President Brad Smith in der Sendung 60 Minutes des US-Fernsehsenders CBS.

Der Angriff, der von der Sicherheitsfirma FireEye und Microsoft im Dezember aufgedeckt wurde, könnte bis zu 18.000 Organisationen betroffen haben, da die Malware Sunburst (oder Solorigate) in die Netzwerkmanagement-Software Orion von SolarWinds eingeschleust wurde.

Microsoft, das ebenfalls durch das fehlerhafte Orion-Update angegriffen wurde, setzte 500 Ingenieure ein, um den Angriff zu untersuchen, erklärte Smith. Aber das (wahrscheinlich von Russland unterstützte) Team hinter dem Angriff hatte laut den Redmondern mehr als doppelt so viele technische Ressourcen. „Als wir alles analysierten, was wir bei Microsoft sahen, fragten wir uns, wie viele Entwickler wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir kamen, war, naja, sicherlich mehr als 1.000″, sagte Smith.

Zu den US-Behörden, die nachweislich von den Angriffen betroffen waren, gehören das US-Finanzministerium, die Cybersecurity and Infrastructure Agency (CISA), das Department of Homeland Security (DHS) sowie das US-Außenministerium und das US-Energieministerium (DOE). Laut einem Bericht der Frankfurter Allgemeinen Zeitung waren auch 15 deutsche Bundesbehörden und ein Ministerium betroffen.

Smith hat bereits zuvor Alarm Angriff geschlagen, dass von einer ausländischen Regierung unterstützte Cyber-Angreifer ein Risiko für die Wirtschaft darstellen, weil sie  sich auf die Technologie-Lieferkette konzentrieren.

„Während Regierungen sich seit Jahrhunderten gegenseitig ausspionieren, haben die jüngsten Angreifer eine Technik verwendet, die die Technologie-Lieferkette für die breitere Wirtschaft gefährdet“, erklärte Smith. Es handle sich um einen Angriff „auf das Vertrauen und die Zuverlässigkeit der kritischen Infrastruktur der Welt.“ Smith betonte gegenüber 60 Minutes, dass die Angreifer nur 4.032 Zeilen Code innerhalb von Orion umgeschrieben haben, das aus Millionen von Codezeilen besteht.

Kevin Mandia, CEO von FireEye, erläuterte ebenfalls, wie die Angreifer einen Alarm auslösten, aber erst nachdem die Angreifer ein zweites Smartphone, das mit dem Konto eines FireEye-Mitarbeiters verbunden war, erfolgreich für das Zwei-Faktor-Authentifizierungssystem angemeldet hatten. Die Mitarbeiter benötigen diesen Zwei-Faktor-Code, um sich aus der Ferne in das Virtual Private Network (VPN) des Unternehmens einzuloggen. „Wie jeder, der von zu Hause aus arbeitet, nutzen wir eine Zwei-Faktor-Authentifizierung“, sagte Mandia.

„Ein Code wird auf unserem Telefon angezeigt. Wir müssen diesen Code eintippen. Und dann können wir uns einloggen. Ein FireEye-Mitarbeiter meldete sich an, aber der Unterschied war, dass unser Sicherheitspersonal sich die Anmeldung ansah und feststellte, dass diese Person zwei Telefone auf ihren Namen registriert hatte. Also rief unser Sicherheitsmitarbeiter diese Person an und wir fragten: „Hey, haben Sie tatsächlich ein zweites Gerät in unserem Netzwerk registriert?“ Die Antwort des  Mitarbeiters: „Nein. Das war ich nicht.”

Charles Carmakal, Senior Vice President und Chief Technology Officer bei FireEyes Incident-Response-Team Mandiant, hatte zuvor gegenüber Yahoo News erklärt, dass das Sicherheitssystem von FireEye den Mitarbeiter und das Sicherheitsteam des Unternehmens auf das unbekannte Gerät aufmerksam gemacht hatte, das angeblich dem Mitarbeiter gehörte.

Die Angreifer hatten sich über das SolarWinds-Update Zugriff auf den Benutzernamen und das Passwort des Mitarbeiters verschafft. Mit diesen Anmeldedaten konnten die Angreifer das Gerät im Zwei-Faktor-Authentifizierungssystem des Unternehmens anmelden.

Die Orion-Updates waren nicht die einzige Methode, mit der Unternehmen während der Kampagne infiltriert wurden, denn die Hacker verschafften sich auch Zugang zu Cloud-Anwendungen. Einem Bericht des Wall Street Journal zufolge hatten 30 Prozent der angegriffenen Unternehmen keine direkte Verbindung zu Solar Winds.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago