SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber

Der Lieferketten-Angriff (Supply-Chain-Attack) auf die SolarWinds Orion-Überwachungssoftware hat sechs Organisationen innerhalb der europäischen Union getroffen. Zudem gibt es neue Hinweise auf Russland als Urheber – so dass ich schnell mal die diversen Informationen, die mir unter die Augen gekommen sind, zusammen fasse.


Anzeige

Es ist ja seit Anfang des Jahres bekannt, dass mutmaßlich staatsnahen russischen Hackern ein Lieferkettenangriff auf die Orion-Überwachungssoftware der US-Firma SolarWinds gelungen ist. Den Hackern gelang es, einen Trojaner samt Backdoor durch ein von SolarWinds ausgerollte Updates in Zehntausende Rechner einschleusen. Dadurch wurden in Behörden, Organisationen und Firmen über die SUNBURST-Schwachstelle angreifbar. Zudem gelang es weiteren Angreifern über nicht geschlossene Schwachstellen in die Netzwerke der SolarWinds-Kunden einzudringen und die IT-Infrastruktur auszuspähen. Die Angreifer tummelten sich 2020 über Monate unerkannt in den Netzwerken vieler Organisationen. Ich hatte den Vorgang in einigen Artikeln hier im Blog thematisiert. So langsam werden die Folgen öffentlich bekannt.

Sechs EU-Ziele angegriffen

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kam nur der Hinweis, dass bis zu 300 Firmen und Organisationen/Behörden in Deutschland vom Sunburst-Hack betroffen seien (SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus). Und von den USA ist bekannt, dass die Angreifer Zugriff auf die E-Mail-Postfächer von Top Mitarbeitern des Department of Homeland Security (DHS) hatten (SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten).

SolarWinds-Hacks bei EU-Institutionen
SolarWinds-Hacks bei EU-Institutionen

Catalin Cimpanu hat auf Twitter obigen Post veröffentlicht, in dem er auf diesen Artikel hinweist. Bei der EU setzen 14 Stellen die Orion-Software zur Überwachung ihrer Netzwerke ein. Laut CERT-EU-Offiziellen wurden sechs dieser EU-Stellen durch die SolariGate-Hintertür ausgespäht. Die CERT-EU nannte zwar nicht die Namen der sechs EU-Behörden, die das kompromittierte Update mit der Backdoor erhalten haben. Es wurde auch nicht verraten, ob Payloads der zweiten Stufe entdeckt wurden. Es ist aber durchgesickert, dass es für einige der betroffenen Institutionen "erhebliche Auswirkungen" gab und dass "einige Datenschutzverletzungen im Bereich persönlicher Daten auftraten." Den gesamten Schaden abzuschätzen, könnte jedoch eine unmögliche Aufgabe sein, sagte EU-Kommissar für Haushalt und Verwaltung Johannes Hahn.


Anzeige

Hinweise auf Russland

Nachfolgender Tweet der Kollegen von Bleeping Computer thematisiert den Umstand, dass US-Offizielle erneut mit dem Finger auf Russland und dessen Geheimdienst als Urheber dieser ganzen Aktion zeigen.

SolarWinds-Hack durch russischen SVR
SolarWinds-Hack durch russischen SVR

Details lassen sich dem verlinkten Artikel bei Bleeping Computer entnehmen. Der US-Geheimdienst NSA hat die fünf am häufigsten durch mutmaßlich staatsnahen russischen Hacker ausgenutzten Schwachstellen aufgelistet. Bleeping Computer weist in diesem Tweet sowie in diesem Artikel auf dieses Thema hin.

Ach ja, noch ein Informationssplitter, der zeigt, wie kompliziert das Ganze geworden ist. Die US-Regierung hat ja Sanktionen gegen einige russische Firmen erhoben, die Software und Unterstützung für den russischen Gemeindienst liefern sollen. In diesem Artikel von AP wird sichtbar, welche Verwerfungen es gibt. Der russische Anbieter Positive Technologies steht auf der Liste der sechs sanktionierten Firmen. Hier im Blog kam die Firma häufiger vor, weil sie Schwachstellen in Intels ME und Chips aufgedeckt haben (siehe Bug in Chips zerstört 'Intel x86 Root of Trust'). Die Firma gehört aber auch zu den Microsoft-Partnern, die frühzeitig Informationen über Schwachstellen erhalten haben. Es ist bestimmt nichts dran, aber warum schießt mir sofort der Blog-Beitrag Gab es beim Exchange-Massenhack ein Leck bei Microsoft? durch den Kopf, wenn ich diese Verflechtungen lese?

Abschließend treibt mich die Frage um, ob wir noch mehr Digitalisierung, noch mehr Cloud-Lösungen und weniger Datenschutz benötigen, um gegen den oben sichtbar gewordenen Trend anzustinken. Und wenn wir in diese Richtung gehen, wie stellen wir die Sicherheitheit sicher? Denn so kann es imho nicht weiter gehen. Was meint ihr dazu?

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber

  1. Olli sagt:

    >>> Abschließend treibt mich die Frage um, ob wir noch mehr Digitalisierung, noch mehr Cloud-Lösungen und weniger Datenschutz benötigen, um gegen den oben sichtbar gewordenen Trend anzustinken. Was meint ihr dazu?

    Wenn es nach mir ginge würde ich sämtlichen IT-Produkte-Herstellern 10 Jahre lang verbieten "neuen" Code (Neue Produkte) zu erstellen und dazu verpflichten alle vorhanden Produkte zur Marktreife zur bringen. Wir hatten in den letzten 10 Jahren soviel Innovation, dass wir 100 Jahre brauchen um das zu verdauen. Das letzte was wir derzeit benötigen ist weitere Innovation. Wir müssen erst mal lernen mit dem klar zu kommen, was wir haben.

    Eine 30jährige (sic 30 Jahre!) Pflicht für Produkt Support wäre auch hilfreich dem Versionswahnsinn Einhalt zu gebieten. Firefox 87 – geht's noch? Hätte ein zuverlässiger, stabiler und vor allem entwanzter Firefox 3 nicht auch gereicht?

    Es gibt da die Biografie von Linus Torvalds – "Just for fun" – genau das ist mein persönlicher Eindruck von den Herstellern – Just for fun – und Sicherheit, Stabilität und Nachhaltigkeit ist halt nicht "funny".

    Damit will ich übrigens nicht Torvalds oder Linux angreifen – das ist ja eher besseres Zeugs – ich nehme das stellvertretend für die mentale Einstellung der gesamten IT Branche.

    Just for fun!

    • Ralf S. sagt:

      "Wir hatten in den letzten 10 Jahren soviel Innovation, dass wir 100 Jahre brauchen um das zu verdauen. Das letzte was wir derzeit benötigen ist weitere Innovation. Wir müssen erst mal lernen mit dem klar zu kommen, was wir haben."

      Besser kann man es eigentlich nicht auf den Punkt bringen! Sehe ich ganz genau so. Aber wie man gerade wieder aktuell sehen kann, ist genau das Gegenteil der Fall. Immer mehr Digitalisierung, in immer schnellerem und unausgereiftem Tempo. Vor allem immer mehr "kritiklose" und zu einem großen Teil auch total unnötige Digitalisierung. Vor allem schafft uns die Digitalisierung wohl, unter dem Summenstrich betrachtet, nicht ein einziges Problem wirklich ab. Sondern die bestehenden Probleme werden irgendwie nur umgewandelt, auf eine andere "Ebene" gehoben und für jedes abgeschaffte Problem wird dann dafür früher oder später ein neues (meist Sicherheits)problem geschaffen, das uns der gewonnenen vermeintlichen "Erleichterung(en)" wieder beraubt… Es ist so zu sagen ein ewiges Katz und Maus-Spiel, das sich durch sich selbst bereits wie eine Kettenreaktion verselbstständigt hat. Ich persönlich, der durch das Alter (51) mit den PCs in den 80ern groß geworden ist, fühle mich inzwischen einfach nicht mehr sehr wohl mit der ganzen Sache und Entwicklung. Das sah damals in den 80ern noch total anders aus… :-) Es läuft alles immer mehr aus dem Ruder, wird immer unübersichtlicher und damit auch gefährlicher. Und zwar an allen Fronten, wie ich finde. Aber der (mehr oder weniger führerlose) Zug ist bereits abgefahren und lässt sich wohl auch nicht mehr aufhalten…

      • 1ST1 sagt:

        Im Prinzip richtig, aber in den 1980ern hatten wir auch Probleme. Auch erste Viren gab es. Die Misere, die wir heute haben, fing mit der Kommerzialisierung des Internets an.

        • Ralf S. sagt:

          Stimmt, in den 80ern gab es auch diverse Probleme. Ich meinte mit meinem Zitat "Das sah damals in den 80ern noch total anders aus… :-)" auch, dass ich (persönlich) der ganzen IT und Digitalisierung noch mehr oder weniger uneingeschränkt positiv gegenüber stand und das alles ungemein spannend und toll fand. Und damals auch niemals gedacht hätte, dass sich das alles mal so entwickelt, wie wir es heute vorfinden. Und ja, auch das sehe ich ebenso wie du, dass mit der Kommerzialisierung des www's das ganze eigentliche Elend begann…

  2. Mance sagt:

    Die Enwicklung wird weitergehen und da das global geschieht, wird es auch nicht möglich sein konzertiert in irgend einer Art dagegen anzugehen. Einen Stillstand halte ich für unmöglich. Jeder (das meine ich umfassend, also auch Firmen und Institutionen) muß selber für "größtmögliche Sicherheit" sorgen. Aber das war ja schon immer so (auch in der analogen Welt). Sicher ist nur der Tod.
    Damit will ich natürlich nicht sagen, daß die "Digitalisierungsentwickler" immer schlampiger weden können. Das versteht sich ja eigentlich von selbst, aber auch hier kann man leider nicht zwingend dafür sorgen, daß das so ist. Das entscheiden letztendlich auch die Verbraucher.

  3. Art sagt:

    my2cents: ja, wir brauchen mehr Digitalisierung und meiner Meinung auch gern als "Cloud" wo es sinnvoll ist – nur eben nicht so wie es aktuell zum Großteil entwickelt, angeboten….und leider auch gekauft wird.

    Ich bin wahrlich kein Cloud Freund, nutze aber auch privat welche – allerdings fast ausschließlich mit Zero-Knowledge Ansatz der Anbieter: z.B. Hi-Drive mit Cryptomator oder Duplicati – auch hierbei 'teile' ich bereits mehr Daten mit Strato als ich möchte (Wer bin ich + wann, womit und von wo greife ich auf die Cloud zu): Kosten/Nutzen Abwägung.

    Der Haftungsansatz der EU-DSGVO hat mMn zu deutlich mehr Datenschutz geführt. Entsprechende gesetzlich festgeschriebene Herstellerhaftung für weitere Bereiche sind aus meiner Sicht das Mittel der Wahl, um von "Kann man so machen – ist dann aber scheisse" wegzukommen. Es liegt an uns, das entsprechende Personal zu wählen, dass die Eier(-stöcke) hat, sich auch gegen aufheulende Lobbyisten durchzusetzen und sich nicht bestechen zu lassen.

  4. Paul sagt:

    Vor vielen Jahren wurde eine "Produkthaftpflicht" eingeführt.
    Damals konnte man keine Software einbinden, weil, em, gab es nicht.
    Heute ist die Software aber extrem wichtig, und trotzdem gibt es keine Produkt-Haftpflicht.

    Wer soll haften?
    Mikrosoft sagt klar an, bis wann sie etwas supporten. Klar, sie machen auch mit dem Extended Support reichlich Asche.
    Aber andere Software Hersteller?
    Die machen irgendwann den Laden zu. Wie Bauunternehmen, die sich alle 2 Jahre umgründen, dann wenn die Gewährleistungsansprüche kommen…

  5. Robert sagt:

    Eine Produkthaftung würde vermutlich mit einer Art Bestandsschutz der Jahrzehnte alten Konzepte wieder ausgehebelt und sonst nur die Anwälte füttern.

    Als z.B. Netzwerkprotokolle ersonnen wurden gab es wenige Rechner und keine Gegner. Mit knapper CPU-Leistung und RAM wäre wohl auch jeder unbeabsichtigte Task schnell aufgeflogen.

    Heute versichern sich die Kunden gegen derartige Ausfälle (z.B. im Norsk Hydro) und sofern die IT alle Updates der Software-Lieferanten eingespielt hat, kommen Versicherungsgesellschaften für den Schaden auf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.