• IT-Karriere:
  • Services:

Angriff: Microsoft via Solarwinds gehackt

Neben Fireeye ist auch Microsoft von der Schadsoftware Sunburst befallen worden. Das Unternehmen will einen Killswitch gefunden haben.

Artikel veröffentlicht am ,
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt.
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt. (Bild: Gerd Altmann/Pixabay)

Auch Microsoft ist von den Angriffen auf Tausende Unternehmen, Behörden und Organisationen betroffen, die über eine trojanisierte Version der IT-Überwachungs- und Verwaltungssoftware Orion von Solarwinds durchgeführt wurde. Die Eindringlinge konnten ihre Schadsoftware Sunburst über die Build-Systeme von Solarwinds in die signierten Softwarepakete einbringen, die der Hersteller zwischen März und Juni über seine Updateserver verteilt hatte. Derweil wollen mehrere Unternehmen einen Killswitch gefunden haben, mit der sich die Schadsoftware deaktivieren lässt.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg
  2. Leibniz Universität Hannover, Hannover

"Wie andere Solarwinds-Kunden haben wir aktiv nach Indikatoren für diesen Akteur gesucht und können bestätigen, dass wir bösartige Solarwinds-Binaries in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben", erklärte Microsoft in einer Stellungnahme.

"Wir haben keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten gefunden", heißt es vonseiten Microsofts weiter. Die Untersuchungen dauerten jedoch noch an. Bisher gebe es keine Hinweise darauf, dass Microsofts-Systeme für Angriffe auf andere genutzt worden seien.

Killswitch über Domain

Eine Koalition aus Tech-Unternehmen, darunter Microsoft, die Sicherheitsfirma Fireeye und der Webhoster und Domainhändler Godaddy, konnten derweil eine Domain ausfindig machen, die als Command-and-Control-Server (C&C) für Malware diente. Wurde eine trojanisierte Version der Software Orion über Solarwinds Update-Server installiert, blieb die Schadsoftware Sunburst 14 Tage lang inaktiv und kontaktierte dann eine Subdomäne von avsvmcloud.com.

Über die DNS-Antwort auf diese Anfrage, wurde der Schadsoftware Sunburst via CNAME-Eintrag eine andere Domain mitgeteilt, über welche sich die Schadsoftware Instruktionen abholte. Die Domain wurde von der Koalition aus Tech-Unternehmen beschlagnahmt und ging in den Besitz von Microsoft über, dadurch soll die Schadsoftware nicht mehr mit dem Command-and-Control-Server (C&C) kommunizieren können.

Zudem erhält Microsoft durch die Anfragen einen Überblick über die aktuell noch befallenen Instanzen. Allerdings hilft die Maßnahme nur, wenn die Angreifer nicht bereits weitere Zugänge in die betroffenen Unternehmensnetzwerke gelegt haben, betonte Fireeye in einer Mitteilung an das Onlinemagazin ZDnet.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Insgesamt 18.000 Betroffene

Neben Microsoft sind bisher die Firma Fireeye sowie mehrere US-Behörden, darunter das Finanzministerium, das Department of Homeland Security (DHS) und Cybersecurity and Infrastructure Agency (CISA), als Opfer der Angriffe bekanntgeworden. Insgesamt sollen 18.000 Organisationen, Behörden und Unternehmen über Updates der Orion kompromittiert worden sein, wie der Hersteller Solarwinds mitteilte. Allerdings soll die Schadsoftware nicht bei allen Betroffenen auch genutzt worden sein. Verantwortlich für diese soll die russische Hackergruppe APT29 sein, die auch Cozy Bear genannt wird.

Solarwinds hatte bereits in der Vergangenheit mehrfach Sicherheitsprobleme. So wurde ein schlechtes Passwort für die Update-Server über Github veröffentlicht, das rund eineinhalb Jahre online war. Zuvor hatten Eindringlinge bereits Zugänge zur Unternehmensinfrastruktur in Hackerforen angeboten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)

holzi 21. Dez 2020

Das wäre dann praktisch ein Backdoor im Backdoor ;-)

CraWler 20. Dez 2020

Ich finde es ja richtig das man eine solche Domain sofort offline nimmt bzw. Umleitet...

Eheran 19. Dez 2020

Vermutlich eine Ladung Aluhüte.

john4344 18. Dez 2020

Security heutzutage funktioniert ein wenig anders als die Vorstellung die hier...


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
    •  /