Microsoft: SolarWinds-Angriff mit mehr als 1.000 Hackern

Die monatelange Hacking-Kampagne gegen Solarwinds, die vor allem US-Regierungsbehörden sowie Cybersecurity-Anbieter betraf, war „der größte und raffinierteste Angriff, den die Welt je gesehen hat“, so Microsoft President Brad Smith in der Sendung 60 Minutes des US-Fernsehsenders CBS.

Der Angriff, der von der Sicherheitsfirma FireEye und Microsoft im Dezember aufgedeckt wurde, könnte bis zu 18.000 Organisationen betroffen haben, da die Malware Sunburst (oder Solorigate) in die Netzwerkmanagement-Software Orion von SolarWinds eingeschleust wurde.

Microsoft, das ebenfalls durch das fehlerhafte Orion-Update angegriffen wurde, setzte 500 Ingenieure ein, um den Angriff zu untersuchen, erklärte Smith. Aber das (wahrscheinlich von Russland unterstützte) Team hinter dem Angriff hatte laut den Redmondern mehr als doppelt so viele technische Ressourcen. „Als wir alles analysierten, was wir bei Microsoft sahen, fragten wir uns, wie viele Entwickler wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir kamen, war, naja, sicherlich mehr als 1.000″, sagte Smith.

Zu den US-Behörden, die nachweislich von den Angriffen betroffen waren, gehören das US-Finanzministerium, die Cybersecurity and Infrastructure Agency (CISA), das Department of Homeland Security (DHS) sowie das US-Außenministerium und das US-Energieministerium (DOE). Laut einem Bericht der Frankfurter Allgemeinen Zeitung waren auch 15 deutsche Bundesbehörden und ein Ministerium betroffen.

Smith hat bereits zuvor Alarm Angriff geschlagen, dass von einer ausländischen Regierung unterstützte Cyber-Angreifer ein Risiko für die Wirtschaft darstellen, weil sie  sich auf die Technologie-Lieferkette konzentrieren.

„Während Regierungen sich seit Jahrhunderten gegenseitig ausspionieren, haben die jüngsten Angreifer eine Technik verwendet, die die Technologie-Lieferkette für die breitere Wirtschaft gefährdet“, erklärte Smith. Es handle sich um einen Angriff „auf das Vertrauen und die Zuverlässigkeit der kritischen Infrastruktur der Welt.“ Smith betonte gegenüber 60 Minutes, dass die Angreifer nur 4.032 Zeilen Code innerhalb von Orion umgeschrieben haben, das aus Millionen von Codezeilen besteht.

Kevin Mandia, CEO von FireEye, erläuterte ebenfalls, wie die Angreifer einen Alarm auslösten, aber erst nachdem die Angreifer ein zweites Smartphone, das mit dem Konto eines FireEye-Mitarbeiters verbunden war, erfolgreich für das Zwei-Faktor-Authentifizierungssystem angemeldet hatten. Die Mitarbeiter benötigen diesen Zwei-Faktor-Code, um sich aus der Ferne in das Virtual Private Network (VPN) des Unternehmens einzuloggen. „Wie jeder, der von zu Hause aus arbeitet, nutzen wir eine Zwei-Faktor-Authentifizierung“, sagte Mandia.

„Ein Code wird auf unserem Telefon angezeigt. Wir müssen diesen Code eintippen. Und dann können wir uns einloggen. Ein FireEye-Mitarbeiter meldete sich an, aber der Unterschied war, dass unser Sicherheitspersonal sich die Anmeldung ansah und feststellte, dass diese Person zwei Telefone auf ihren Namen registriert hatte. Also rief unser Sicherheitsmitarbeiter diese Person an und wir fragten: „Hey, haben Sie tatsächlich ein zweites Gerät in unserem Netzwerk registriert?“ Die Antwort des  Mitarbeiters: „Nein. Das war ich nicht.”

Charles Carmakal, Senior Vice President und Chief Technology Officer bei FireEyes Incident-Response-Team Mandiant, hatte zuvor gegenüber Yahoo News erklärt, dass das Sicherheitssystem von FireEye den Mitarbeiter und das Sicherheitsteam des Unternehmens auf das unbekannte Gerät aufmerksam gemacht hatte, das angeblich dem Mitarbeiter gehörte.

Die Angreifer hatten sich über das SolarWinds-Update Zugriff auf den Benutzernamen und das Passwort des Mitarbeiters verschafft. Mit diesen Anmeldedaten konnten die Angreifer das Gerät im Zwei-Faktor-Authentifizierungssystem des Unternehmens anmelden.

Die Orion-Updates waren nicht die einzige Methode, mit der Unternehmen während der Kampagne infiltriert wurden, denn die Hacker verschafften sich auch Zugang zu Cloud-Anwendungen. Einem Bericht des Wall Street Journal zufolge hatten 30 Prozent der angegriffenen Unternehmen keine direkte Verbindung zu Solar Winds.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

11 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago