Prodaft

Westschweizer Firma hackt Solarwinds-Hacker

Uhr
von Yannick Chavanne und Übersetzung: René Jaun

Das Westschweizer IT-Sicherheitsunternehmen Prodaft hat mehr als 200 Server aufgespürt, die mit dem Solarwinds-Hack in Verbindung stehen. Eine kriminelle Hackergruppe namens Silverfish soll darüber ihre Opfer angreifen.

(Source: Michael Geiger / Unsplash)
(Source: Michael Geiger / Unsplash)

Seit Ende letzten Jahres sorgt der sogenannte Solarwinds-Hack für Schlagzeilen. Nun veröffentlicht die in Yverdon-les-Bains ansässige Cybersecurity-Firma Prodaft Details zu einer mutmasslich an den Angriffen beteiligten Hackergruppe. Gemäss seiner Analyse unter dem Titel "SilverFish Group Threat Actor Report" (PDF) handelt es sich um eine Gruppe von fortgeschrittenen Cyberkriminellen, die mindestens 4720 grosse Unternehmen und öffentliche Einrichtungen auf der ganzen Welt ins Visier genommen haben. Eine Verbindung zwischen der Gruppe, die Prodaft "Silverfish"getauft hat, und einer anderen Organisation oder einem Staat will das Unternehmen nicht herstellen. Für den Bericht untersuchte Prodaft die von der Gruppe genutzten Server.

Mehr als 200 Server identifiziert

Die Prodaft-Analyse liefere "einen aussergewöhnlich klaren Überblick über die Grösse und Struktur der organisierten Cyberkriminalität", kommentiert Antivirus-Spezialist Malwarebytes. Die Cybersecurity-Firma habe eine globale Cybercrime-Kampagne aufgedeckt, die ausgeklügelte Tools einsetze, darunter eine eigene Sandbox zum Testen von Malware.

Die Forscher von Prodaft erstellten zunächst einen eindeutigen Fingerabdruck eines der Server anhand verschiedener Parameter wie beispielsweise der installierten Software. Anschliessend scannten sie das Web nach ähnlichen Konfigurationen. Binnen 12 Stunden identifizierten sie auf diese Weise mehr als 200 weitere Server.

Opfer aus allen Bereichen

Indem sie sich Zugang zu Command-and-Control-Servern verschafften, waren die Forscher danach in der Lage, die angegriffenen Solarwinds-Opfer, deren Nutzernamen und IP-Adressen zu identifizieren. Unter den Opfern sind gemäss Prodaft US-Regierungsbehörden, globale IT-Anbieter, Automobil- und Flugzeughersteller, zahlreiche US-amerikanische und europäische Banken, Polizeinetzwerke, Gesundheitsämter, Pharmaunternehmen und drei der grössten Wirtschaftsprüfungs- und Beratungsunternehmen.

"Obwohl es sich um grosse kritische Infrastrukturen handelt, wissen die meisten Opfer leider nichts von der Präsenz der SilverFish-Gruppe in ihren Netzwerken", warnt Prodaft.

Die Analyse der Firma weist weiter darauf hin, dass die meisten SilverFish-Mitglieder Russisch sprechen. Der Kreml wurde in der Vergangenheit verdächtigt, hinter dem SolarWinds-Angriff zu stecken.

Dass Prodaft die mutmasslichen Opfer kontaktiert und über ihre Befunde informiert hat, schreibt schreibt das Unternehmen in ihrem Bericht nicht. Man habe jedoch CERTs (Computer Emergency Response Teams) in den betroffenen Ländern informiert.

Medienberichte, wonach Prodaft mit dem FBI und nationalen Polizeien zusammenarbeite, dementiert das Unternehmen auf Anfrage. "Wir arbeiten in dieser Angelegenheit mit keiner Strafverfolgungsbehörde zusammen und haben auch kein Interesse daran, weil das nicht unsere Aufgabe ist." Das Unternehmen habe seine Erkenntnisse zu IP-Adressen und Servern weitergegeben, um weitere Untersuchungen durchzuführen. Die Analyse habe Prodaft durchgeführt, nachdem ein Finanzinstitut, mit dem die Firma zusammenarbeitet, einen Verstoss in Zusammenhang mit dem Solarwinds-Hack festgestellt habe.

Laut seiner Website hat Prodaft Niederlassungen und Partner in der Schweiz, Argentinien, der Türkei, Rumänien und auf den Philippinen. "Wir haben über 40 technische Mitarbeitende verschiedener Nationalitäten und arbeiten hauptsächlich mit Finanzinstituten, Versicherungsunternehmen, Internet-Service-Providern, Luftfahrtunternehmen und anderen kritischen Infrastrukturen. Unsere Kunden kommen hauptsächlich aus der EMEA-Region", fügt das Unternehmen auf Anfrage an.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_211348

Kommentare

« Mehr