Angriff: Microsoft via Solarwinds gehackt
Auch Microsoft ist von den Angriffen auf Tausende Unternehmen, Behörden und Organisationen betroffen, die über eine trojanisierte Version der IT-Überwachungs- und Verwaltungssoftware Orion von Solarwinds durchgeführt wurde. Die Eindringlinge konnten ihre Schadsoftware Sunburst über die Build-Systeme von Solarwinds in die signierten Softwarepakete einbringen, die der Hersteller zwischen März und Juni über seine Updateserver verteilt hatte. Derweil wollen mehrere Unternehmen einen Killswitch gefunden haben, mit der sich die Schadsoftware deaktivieren lässt.
"Wie andere Solarwinds-Kunden haben wir aktiv nach Indikatoren für diesen Akteur gesucht und können bestätigen, dass wir bösartige Solarwinds-Binaries in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben," erklärte Microsoft in einer Stellungnahme(öffnet im neuen Fenster) .
"Wir haben keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten gefunden," heißt es vonseiten Microsofts weiter. Die Untersuchungen dauerten jedoch noch an. Bisher gebe es keine Hinweise darauf, dass Microsofts-Systeme für Angriffe auf andere genutzt worden seien.
Killswitch über Domain
Eine Koalition aus Tech-Unternehmen, darunter Microsoft, die Sicherheitsfirma Fireeye und der Webhoster und Domainhändler Godaddy, konnten derweil eine Domain ausfindig machen, die als Command-and-Control-Server (C&C) für Malware diente. Wurde eine trojanisierte Version der Software Orion über Solarwinds Update-Server installiert, blieb die Schadsoftware Sunburst 14 Tage lang inaktiv und kontaktierte dann eine Subdomäne von avsvmcloud.com.
Über die DNS-Antwort auf diese Anfrage, wurde der Schadsoftware Sunburst via CNAME-Eintrag eine andere Domain mitgeteilt, über welche sich die Schadsoftware Instruktionen abholte. Die Domain wurde von der Koalition aus Tech-Unternehmen beschlagnahmt und ging in den Besitz von Microsoft über, dadurch soll die Schadsoftware nicht mehr mit dem Command-and-Control-Server (C&C) kommunizieren können.
Zudem erhält Microsoft durch die Anfragen einen Überblick über die aktuell noch befallenen Instanzen. Allerdings hilft die Maßnahme nur, wenn die Angreifer nicht bereits weitere Zugänge in die betroffenen Unternehmensnetzwerke gelegt haben, betonte Fireeye in einer Mitteilung an das Onlinemagazin ZDnet(öffnet im neuen Fenster) .
Insgesamt 18.000 Betroffene
Neben Microsoft sind bisher die Firma Fireeye sowie mehrere US-Behörden , darunter das Finanzministerium, das Department of Homeland Security (DHS) und Cybersecurity and Infrastructure Agency (CISA), als Opfer der Angriffe bekanntgeworden. Insgesamt sollen 18.000 Organisationen, Behörden und Unternehmen über Updates der Orion kompromittiert worden sein, wie der Hersteller Solarwinds mitteilte. Allerdings soll die Schadsoftware nicht bei allen Betroffenen auch genutzt worden sein. Verantwortlich für diese soll die russische Hackergruppe APT29 sein, die auch Cozy Bear genannt wird.
Solarwinds hatte bereits in der Vergangenheit mehrfach Sicherheitsprobleme . So wurde ein schlechtes Passwort für die Update-Server über Github veröffentlicht, das rund eineinhalb Jahre online war. Zuvor hatten Eindringlinge bereits Zugänge zur Unternehmensinfrastruktur in Hackerforen angeboten.