Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?

[English]Aktuell wird untersucht, ob der SolarWinds-Hack über die Software TeamCity der osteuropäischen Firma JetBrains erfolgt sein könnte. Zudem wurde bekannt, dass die SOLARBURST-Hacker Zugriff auf E-Mail-Konten des US-Justizministeriums hatten. Schlussendlich steht die IT des Capitols vor dem Problem, dass die Cyber-Sicherheit nach dem Sturm dieses Hauses durch einen Mob nicht mehr gewährleistet ist.


Anzeige

Mutmaßlich staatlichen Angreifern ist es gelungen, eine DLL in der Orion-Überwachungssoftware von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Das Ganze wurde dann als digital signiertes Update weltweit an alle Nutzer der SolarWinds Orion-Software verteilt. Die Hacker konnten über viele Monate unbemerkt auf die Systeme der Opfer zugreifen und sich dort festsetzen.

Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen). In den USA geht man nach bisherigen Analysen von ungefähr 200 US-Behörden und -Firmen (von Intel über Cisco bis hin zu Microsoft) aus, die wohl gezielt Opfer dieser Hacker-Aktion geworden seien (siehe SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?). Der SolarWinds-Hack hat vor allem die USA und deren Administration ins Mark getroffen hat. Inzwischen gibt es eine gemeinsame Erklärung von FBI, CISA, ODNI und NSA (siehe auch), die Russland für den Angriff verantwortlich machen.

E-Mail-Konten im US-Justizministeriums gehackt

US-Medien wie CNBC berichten, dass die Angreifer, die über die SolarWinds-Software in Regierungsnetzwerke eingedrungen sind, im Rahmen des SOLARBURST-Hacks Zugriff möglicherweise Zugriff auf etwa 3% der E-Mail-Konten des Justizministeriums hatten. Laut Ministerium gibt es gibt keinen Hinweis darauf, dass die Hacker klassifizierte Systeme zugegriffen haben.

JetBrains-Software als Einfallstor?

JetBrains ist ein multinationales Software-Unternehmen mit Hauptsitz in Prag und Niederlassungen in Sankt Petersburg, Novosibirsk, Moskau, Boston sowie München. JetBrains wurde im Jahr 2000 von den Russen Sergey Dmitriev, Eugene Belyaev und Valentin Kipiatkov in Prag gegründet. Eines der JetBrains-Produkte ist die Software TeamCity (Slogan Powerful continuous integration for DevOps-centric teams), die von vielen Software-Entwicklern eingesetzt wird. Auch SolarWinds war unter den JetBrains-Kunden.


Anzeige

In getrennten Artikeln berichten Wall Street Journal, Retuers und New York Times, dass US-Dienste der Frage nachgehen, ob die Manipulation des Orion-Quellcodes, der den Hack erst ermöglichte, von dem tschechischen Unternehmen JetBrains ausgegangen sein könnte. Wenn deren Tool gehackt wurde, könnte dies Auswirkungen auf SolarWinds gehabt haben.

Der Chef von JetBrain, Maxim Shafirov, gab in einer Erklärung bekannt, dass man in keiner Weise am Hack beteiligt gewesen sei und auch noch keine Kenntnis über Untersuchungen von Sicherheitsdiensten oder Behörden diesbezüglich habe. Shafirov gestand zwar ein, dass SolarWinds ein Kunde ist und die Teamcity,-Software nutze. Bisher habe SolarWinds noch keinen Kontakt bezüglich des Hacks aufgenommen habe. Sollte Teamcity für den Hack genutzt worden sein, könne dies auch an einer Fehlkonfiguration des komplexen Tools gelegen haben und nicht unbedingt an einer Sicherheitslücke. heise hat hier einige Informationen zusammen getragen.

Sturm auf das Capitol und die IT-Sicherheit

Kleiner Schlenker weg vom SolarWinds-Hack. Der Sturm des Mobs auf das US-Capitol hat möglicherweise fatale Folgen für die IT-Sicherheit in diesem Parlament. Beim Sturm blieben viele IT-Systeme im Capitol unbeaufsichtigt und der Mob konnte auf diese Rechner zugreifen. US-Medien wie Wired berichten, dass jetzt grundlegende Fragen der IT-Sicherheit zu klären seien. Den die Eindringlinge könnten die Büros des Kongresses verwanzt, Daten von nicht gesperrten Computern abgezogen oder Malware auf den exponierten Geräten installiert haben. In der Eile, das Kapitol zu evakuieren, wurden einige Computer nicht gesperrt und blieben zugänglich, als die Randalierer eintrafen. Einige Geräte wurden zudem gestohlen: Senator Jeff Merkley aus Oregon sagte in einem Video am späten Mittwoch, dass Eindringlinge einen der Laptops seines Büros von einem Konferenztisch nahmen. Da kommt eine größere Sicherheitsaufgabe auf die Zuständigen zu.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?

  1. Robert sagt:

    Bei der Ansammlung der eingesetzten und angebotenen Werkzeuge bei SolarWinds war es m.E. nur eine Frage der Zeit, bis sich Schwächen in der Kette multiplizieren und jemand die Phantasie entwickelt, dieses als eine Art Schach-Herausforderung zu nutzen und seine Mannschaft herauszufordern. Vor etlichen Jahren ist BTX aus Langeweile hochgenommen worden. Aktuell haben viel mehr fähige Menschen seit etwa einem Jahr reichlich Zeit.

    Der unüberschaubare Wildwuchs über Jahrzehnte zusammengesteckter Netzwerk-Technologie, eigene Protokolle und Systeme der Hersteller etc. macht soliden Unterbau sicher auch nicht einfacher. Werkzeuge wie die von SolarWorld zu Bewältigung dieser Komplexität schaffen zwangsläufig mehr Angriffsfläche, spätestens wenn der qualitative Anspruch nachlässt.

  2. Bernard sagt:

    Den die Eindringlinge könnten die Büros des Kongresses verwanzt, Daten von nicht gesperrten Computern abgezogen oder Malware auf den exponierten Geräten installiert haben.

    Ja, nee, is klar. Das macht man einfach einmal so.

    Das ist doch Quatsch. Wer mit so einer Agenda da eingedrungen ist, ist kein normaler Bürger, sondern Mitarbeiter eines Nachrichtendienstes. Tatsächlich ist das weitere Verarschung der Bevölkerung. Wer glaubt den Lügen der Politiker eigentlich noch?

    • Günter Born sagt:

      Bezgl. Lügen halte ich mich mal bedeckt. Zum Sachverhalt an sich: Wer sich mit Sicherheitsfragen in einem solchen Bereich befasst, muss vom Worst Case ausgehen und tut gut daran, eine Untersuchung mit angeschlossener forensicher Analyse durchzuführen.

      Zudem sind mir Berichte untergekommen, dass bei dem erwähnten Vorfall Personen mit militärischer Ausbildung unter dem Mob gewesen sein sollen – wird wohl noch untersucht. Einfach als gedankliche Anregung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.