Solarwinds-Attacke

Update: Hacker erlangen Zugriff auf Microsoft-Quellcode

Uhr
von Yannick Chavanne und Übersetzung: Colin Wallace, Milena Kälin, René Jaun

Microsoft hat eingeräumt, dass es Cyberkriminellen gelungen ist, Quellcode seiner Produkte einzusehen. Die Hacker nutzten dieselbe Schwachstelle im Netzwerküberwachungsprodukt Orion von Solarwinds aus, mit der sie auch US-Behörden und den Security-Anbieter Fireeye angriffen.

(Source: Khusen Rustamov / Pixabay.com)
(Source: Khusen Rustamov / Pixabay.com)

Update von 5.1.2021: Microsoft gehört ebenfalls zu den Opfern des massiven, vermutlich von Russland unterstützten Cyberangriffs, von dem auch US-Behörden und der Cybersecurity-Anbieter Fireeye betroffen sind. Schon Mitte Dezember räumte der US-Tech-Konzern ein, kompromittierte Versionen des Solarwinds-Produkts in seinem Netzwerk entdeckt zu haben, mit dem die Angriffe durchgeführt wurden. Damals sagte das Unternehmen noch, man habe keine Hinweise auf einen unbefugten Zugriff auf Produktionsdienste oder Kundendaten gefunden.

Doch nun stellt sich heraus, dass Microsoft stärker getroffen wurde, als die ersten Untersuchungen vermuten liessen. Gemäss einem am 31. Dezember veröffentlichten Update auf der Seite des Security Response Center von Microsoft heisst es, es sei den Angreifern gelungen, ein internes Konto zu hacken, über das sie "den Programm-Quellcode in mehreren Source Code Repositories einsehen konnten".

Zu welchen Produkten dieser Quellcode konkret gehört, schreibt Microsoft nicht. Der Softwarehersteller betont aber, der Quellcode sei nicht verändert worden, da der gekaperte Zugang nicht über die dafür erforderlichen Zugriffsberechtigungen verfügte.

Im Blogbeitrag relativiert Microsoft das Risiko, das durch das Betrachten seines Quellcodes ausgeht: "Wir verlassen uns bei der Sicherheit von Produkten nicht auf die Geheimhaltung des Quellcodes, und unsere Bedrohungsmodelle gehen davon aus, dass Angreifer Kenntnis vom Quellcode haben. Die Einsicht in den Quellcode ist also nicht mit einer Erhöhung des Risikos verbunden."

Update vom 16.12.2020: Fireeye und US-Behörden wegen Solarwinds-Schwachstelle gehackt

Allmählich lüftet sich das Geheimnis um die Cyber-Attacke gegen die Firma Fireeye. Neben Fireeye hackte die von der russischen Regierung unterstützte Hackergruppe (Cozy Bear oder APT 29) im Rahmen derselben Angriffsaktion auch die US-Bundesbehörden. Dies berichteten mehrere Medien, darunter die Washington Post.

Die Cybersecurity-Firma Fireeye erklärt in einem neuen Blog-Post, dass der Angriff eine Lücke im Update-System des Netzwerküberwachungsprodukts Orion von Solarwinds ausnutzte. So konnten die Hacker das Netzwerk gezielt infiltrieren und ein Backdoor namens "SUNBURST" installieren. Es folgten Bewegungen und Diebstahl von Daten.

Die U.S. Cybersecurity and Infrastructure Security Agency hat eine Warnung herausgegeben. Diese besagt, dass die in Solarwinds' Orion entdeckte Schwachstelle inakzeptable Risiken birgt. Die Agency fordert die Bundesbehörden dazu auf, ihre Netzwerke zu untersuchen und das kompromittierte Produkt sofort davon zu trennen oder abzuschalten.

Laut Fireeye wurden Unternehmen, die Solarwinds' Orion einsetzen, bereits im Frühjahr 2020 infiziert. Die Firma sagt, dass solche Angriffe "akribische Planung und manuelle Interaktion erfordern". Solarwinds gibt auf seiner Website an, mehr als 300'000 Kundinnen und Kunden zu haben, darunter Regierungsbehörden, Armeen und Fortune-500-Unternehmen. Das Unternehmen listet unter anderem grosse Schweizer Unternehmen wie Credit Suisse, Nestlé und Swisscom.

Ursprüngliche Meldung vom 10.12.2020: Hacker erbeuten Hacking-Tools von Fireeye

Das Image von Fireeye wurde schwer beschädigt: Als eine der führenden Cybersicherheitsfirmen ist das Unternehmen selbst Opfer eines Cyberangriffs geworden. Die Angreifer erbeuteten in der grossangelegten Aktion Hacking-Tools des "Red Team", mit denen der Schutz seiner Kunden getestet wurde. In einem Blogbeitrag beschreibt Kevin Mandia, CEO der kalifornischen Firma, den Angriff als "höchst raffiniert". Das Unternehmen vermute, dass der Angriff von einer staatlich unterstützten Gruppe unter Verwendung neuer, Fireeye und seinen Partnern (einschliesslich des FBI und Microsoft) unbekannter Techniken verübt wurde. Laut Reuters sind die Hauptverdächtigen eine Gruppe russischer Hacker.

"Dieser Angriff unterscheidet sich von den Zehntausenden von Vorfällen, auf die wir im Laufe der Jahre reagiert haben. Die Angreifer haben ihre Weltklasse-Fähigkeiten speziell darauf zugeschnitten, Fireeye anzugreifen. Sie sind im Bereich der operativen Sicherheit hoch qualifiziert und handelten diszipliniert und fokussiert. Sie operierten verdeckt und benutzten Methoden, die in der Lage sind, Sicherheitsinstrumenten und forensischer Analyse entgegenzuwirken", erklärt der CEO.

300 Gegenmassnahmen

Die erbeuteten Werkzeuge nutzen "Zero-Day"-Schwachstellen nicht aus, so die Cybersicherheitsfirma. Um zu verhindern, dass diese Tools für böswillige Zwecke gegen Unternehmen ausgenutzt werden, veröffentlichte Fireeye "300 Gegenmassnahmen" für Cybersicherheitsfirmen und Experten, um die Verwendung gestohlener Tools aufzudecken oder zu blockieren.

Gemäss Fireeye suchten die Angreifer hauptsächlich Informationen über einige seiner staatlichen Kunden. Die Systeme wurden infiltriert, aber die Firma hat keine Hinweise auf einen möglichen Diebstahl von Kundendaten oder Metadaten gefunden, die von ihren Produkten gesammelt wurden. Nach eigenen Angaben hat Fireeye mehr als 9600 Kunden in 103 Ländern, darunter mehr als die Hälfte der in Forbes Global 2000 aufgeführten Unternehmen.

Grossangelegte Cyberangriffe wie dieser sind aussergewöhnlich. Generell werden KMU öfters zum Opfer solcher Attacken, da sie ein leichteres Ziel abgeben. So auch in der Schweiz.

Webcode
DPF8_201122

Kommentare

« Mehr