Angriff: Microsoft via Solarwinds gehackt

Neben Fireeye ist auch Microsoft von der Schadsoftware Sunburst befallen worden. Das Unternehmen will einen Killswitch gefunden haben.

Artikel veröffentlicht am ,
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt.
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt. (Bild: Gerd Altmann/Pixabay)

Auch Microsoft ist von den Angriffen auf Tausende Unternehmen, Behörden und Organisationen betroffen, die über eine trojanisierte Version der IT-Überwachungs- und Verwaltungssoftware Orion von Solarwinds durchgeführt wurde. Die Eindringlinge konnten ihre Schadsoftware Sunburst über die Build-Systeme von Solarwinds in die signierten Softwarepakete einbringen, die der Hersteller zwischen März und Juni über seine Updateserver verteilt hatte. Derweil wollen mehrere Unternehmen einen Killswitch gefunden haben, mit der sich die Schadsoftware deaktivieren lässt.

Stellenmarkt
  1. Administrator IT (m/w/d)
    KARL MAYER Holding GmbH & Co. KG, Obertshausen, Reutlingen, Chemnitz
  2. (Junior) Application Engineer Geo-Cloud (m/w/d)
    HxGN Safety & Infrastructure GmbH, Ismaning, Bonn
Detailsuche

"Wie andere Solarwinds-Kunden haben wir aktiv nach Indikatoren für diesen Akteur gesucht und können bestätigen, dass wir bösartige Solarwinds-Binaries in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben", erklärte Microsoft in einer Stellungnahme.

"Wir haben keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten gefunden", heißt es vonseiten Microsofts weiter. Die Untersuchungen dauerten jedoch noch an. Bisher gebe es keine Hinweise darauf, dass Microsofts-Systeme für Angriffe auf andere genutzt worden seien.

Killswitch über Domain

Eine Koalition aus Tech-Unternehmen, darunter Microsoft, die Sicherheitsfirma Fireeye und der Webhoster und Domainhändler Godaddy, konnten derweil eine Domain ausfindig machen, die als Command-and-Control-Server (C&C) für Malware diente. Wurde eine trojanisierte Version der Software Orion über Solarwinds Update-Server installiert, blieb die Schadsoftware Sunburst 14 Tage lang inaktiv und kontaktierte dann eine Subdomäne von avsvmcloud.com.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Über die DNS-Antwort auf diese Anfrage, wurde der Schadsoftware Sunburst via CNAME-Eintrag eine andere Domain mitgeteilt, über welche sich die Schadsoftware Instruktionen abholte. Die Domain wurde von der Koalition aus Tech-Unternehmen beschlagnahmt und ging in den Besitz von Microsoft über, dadurch soll die Schadsoftware nicht mehr mit dem Command-and-Control-Server (C&C) kommunizieren können.

Zudem erhält Microsoft durch die Anfragen einen Überblick über die aktuell noch befallenen Instanzen. Allerdings hilft die Maßnahme nur, wenn die Angreifer nicht bereits weitere Zugänge in die betroffenen Unternehmensnetzwerke gelegt haben, betonte Fireeye in einer Mitteilung an das Onlinemagazin ZDnet.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Insgesamt 18.000 Betroffene

Neben Microsoft sind bisher die Firma Fireeye sowie mehrere US-Behörden, darunter das Finanzministerium, das Department of Homeland Security (DHS) und Cybersecurity and Infrastructure Agency (CISA), als Opfer der Angriffe bekanntgeworden. Insgesamt sollen 18.000 Organisationen, Behörden und Unternehmen über Updates der Orion kompromittiert worden sein, wie der Hersteller Solarwinds mitteilte. Allerdings soll die Schadsoftware nicht bei allen Betroffenen auch genutzt worden sein. Verantwortlich für diese soll die russische Hackergruppe APT29 sein, die auch Cozy Bear genannt wird.

Solarwinds hatte bereits in der Vergangenheit mehrfach Sicherheitsprobleme. So wurde ein schlechtes Passwort für die Update-Server über Github veröffentlicht, das rund eineinhalb Jahre online war. Zuvor hatten Eindringlinge bereits Zugänge zur Unternehmensinfrastruktur in Hackerforen angeboten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


holzi 21. Dez 2020

Das wäre dann praktisch ein Backdoor im Backdoor ;-)

CraWler 20. Dez 2020

Ich finde es ja richtig das man eine solche Domain sofort offline nimmt bzw. Umleitet...

Eheran 19. Dez 2020

Vermutlich eine Ladung Aluhüte.

john4344 18. Dez 2020

Security heutzutage funktioniert ein wenig anders als die Vorstellung die hier...



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /