SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse

[English]Der Hack mehrerer US-Behörden über die SUNBURST-Backdoor in der SolarWinds Orion-Überwachungssoftware nimmt immer größere Dimensionen an. Auch die Netzwerke der National Nuclear Security Administration (NNSA) und des US Department of Energy (DOE) sind gehackt worden. Die Angreifer haben mehrere Strategien benutzt und die Säuberung wird womöglich Monate dauern.


Anzeige

Angriff auf NNSA und DOE

Staatliche Hacker haben es auch geschafft, in die Netzwerke der National Nuclear Security Administration (NNSA) und des US Department of Energy (DOE) einzudringen. Die NNSA ist eine halbautonome Regierungsbehörde, die für die Wartung und Sicherung des US-Kernwaffenarsenals zuständig ist. Der Hack wurde dem Magazin Politico gesteckt, die das Ganze hier veröffentlicht haben.

Sicherheitsspezialisten fanden in Netzwerken, die der Federal Energy Regulatory Commission (FERC), den Sandia und Los Alamos National Laboratories in New Mexico und Washington, dem Office of Secure Transportation der NNSA und dem Richland Field Office des DOE gehören, verdächtige Aktivitäten.

Die Hacker waren in der Lage, bei FERC mehr Schaden anzurichten als bei den anderen Behörden, und die Mitarbeiter fanden dort Beweise für hochgradig bösartige Aktivitäten, ohne auf Details einzugehen. Am Donnerstag haben Mitarbeiter der DOE und der NNSA ihre Aufsichtsgremien im Kongress informiert, nachdem sie von Rocky Campione, dem Chief Information Officer des DOE, informiert worden waren.

Bisher unbekannte Taktik der Hacker

Die Washington Post berichtet in diesem Artikel, dass die Angreifer bisher unbekannte Taktiken benutzt haben, um sich im Netzwerk der Opfer festzusetzen und auszubreiten. Zumindest hat man entsprechende Anzeichen bei der forensischen Untersuchung der betroffenen Systeme gefunden.


Anzeige

Seit Tagen ist klar, dass kompromittierte Software-Patches der texanischen Firma SolarWinds eine SUNBURST genannte Backdoor auf die Systeme der Opfer hat. Dies ermöglicht den mutmaßlich russischen Hackern Zugang zu Computersystemen der US-Regierung zu erhalten.

Eine Warnung der Cybersecurity and Infrastructure Security Agency (CISA), angesiedelt im Department of Homeland Security, gibt an, dass Beweise darauf hindeuten, dass andere Malware verwendet wurde, um den Angriff einzuleiten. Die CISA untersucht Vorfälle, bei denen die Opfer entweder keine SolarWinds Orion-Überwachungssoftware nutzen. Oder es war zwar eine SolarWinds Orion-Installation vorhanden, aber es wurden keine Aktivitäten beobachtet, die die SolarWinds SUNBURST-Backdoor ausnutzten.

Der Sicherheitsanbieter Volexity hat außerdem einen Fall beschrieben, in dem die Angreifer einen geheimen Schlüssel verwendet haben, den sie zuvor gestohlen hatte. Damit lässt sich ein Cookie generieren, mit dem die Zweifaktor-Authentifizierung (MFA) der Outlook Web App (OWA) umgangen werden konnte. Volexity führt dieses Eindringen auf dieselbe Aktivität zurück wie die Kompromittierung der Lieferkette von SolarWinds Orion.

Diese Beobachtung deutet darauf hin, dass es neben SolarWinds Orion noch weitere ursprüngliche Zugriffsvektoren gibt, und möglicherweise gibt es noch weitere, die noch nicht bekannt sind. Die Identifizierung der betroffenen Systeme, deren Analysen und das säubern der Software von den Infektionen dürfte noch Monate dauern.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SolarWinds-Hack: Auch Microsoft & Co. betroffen?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse

  1. Max sagt:

    Zur Sicherheit müssen Sicherheitsbehörden jetzt sämtliche Sicherheitslücken unter Verschluss halten, damit die Sicherheit gewährleistet werden kann. ;)

  2. Randy Watson sagt:

    Salut,
    für unser Client-Management setzten wir auf Solarwinds Dameware (laut Solarwinds nicht betroffen). Zur Lizenz Verwaltung ist diesbezüglich ein Stück Software namens Dameware Central Server installiert. Wie außer stumpf nach dieser Datei zu suchen (SolarWinds.Orion.Core.BusinessLayer.dll) kann ich nun trotzdem auszuschließen, dass wir nicht betroffen bin ?

    Danke vorab

  3. No sagt:

    In einem Youtube-Video analysiert Colin Hardy einen kleinen Teil des Sunbrust – Code, etwas lang, gibt aber einen Eindruck über die "stealthy" – Methoden:

    https://www.youtube.com/watch?v=JoMwrkijTZ8

  4. Randy Watson sagt:

    Danke,

    normalerweise müssten auch die Virenscannerpattern nun alle "hellhörig" werden und das Ganze beim nächsten Voll-Scan eh "auffliegen".

    • Günter Born sagt:

      Ich denke schon – Microsoft hat die Virensignaturen für die Antimalware-Scan-Engine (Defender, MSE) entsprechend aktualisiert. Und andere Scanner-Anbieter haben m.W. auch reagiert. Das deckt aber nur die bekannten Schwachstellen ab.

      Beachte das Szenario: System war über den SUNBURST-Orion-Trojaner betroffen. Der wackere Admin hat den neuesten Hotfix von SolarWinds installiert, der die infizierten DLLs überbügelt – und der Virenscanner ist zufrieden. Die Hacker haben aber längst eine Hintertür in Form eines Active Directory- oder Microsoft 365 Admin-Kontos eingerichtet. Da sind wir wieder bei der Forensik.

      PS: Aber ich bin nur ein kleiner Blogger, der keine System-Administration für Active Directory/Domain Controller und Flotten von mehreren Tausend Systemen zum täglich Brot zählt.

  5. Herr IngoW sagt:

    ARD und Co. auch private berichten seit gestern auch am Rande von dem Hack. Richtige Infos kommen da aber nicht rüber, nur ganz lapidar das es eben passiert ist.

  6. Gerold sagt:

    Ist jetzt bei CNN das Hauptthema.

  7. Hummel sagt:

    Zitat von Trump: "Der Angriff werde in den „lügnerischen Medien" weit größer dargestellt als er tatsächlich sei. „Ich wurde umfassend informiert, und es ist alles voll unter Kontrolle"

    Na, wenn er das sagt…

    °O°
    Runtime Error 6D at 417A:32CF: Incompetent User

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.