![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Tag 1 nach dem Bekanntwerden der Hackerangriffe auf Firmen und Beh\u00f6rden \u00fcber die SUNBURST-Schwachstelle in SolarWinds-Produkten. So langsam werden die Folgen sichtbar und erste Vorschl\u00e4ge zur Absicherung der Infrastruktur \u00fcber SIEMS-Regeln werden gemacht. Hier ein kurzer \u00dcberblick.<\/p>\n
<\/p>\n
M\u00f6glich war dies, weil eine Backdoor in Form eines Trojaners in den Orion-Produkten des US-Anbieters SolarWinds existiert. Mutma\u00dflich russischen Staatshackern ist ein besonderer Coup gelungen. Sie konnten einen Trojaner in von SolarWinds ausgerollte Updates einschleusen, wodurch Zehntausende an Beh\u00f6rden, Organisationen und Firmen \u00fcber die SUNBURST-Schwachstelle angreifbar sind.<\/p>\n Denn die Netzwerk- und Sicherheitsprodukte von SolarWinds<\/a> werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbeh\u00f6rden und Bildungseinrichtungen. SolarWinds beliefert au\u00dferdem die gro\u00dfen US-Telekommunikationsunternehmen, alle f\u00fcnf Zweige des US-Milit\u00e4rs und andere prominente Regierungsorganisationen wie das Pentagon, das Au\u00dfenministerium, die NASA, die Nationale Sicherheitsbeh\u00f6rde (NSA), die Post, die NOAA, das Justizministerium und das B\u00fcro des Pr\u00e4sidenten der Vereinigten Staaten.<\/p>\n Die Geschichte bekommt eine besondere Note, wenn man wei\u00df, dass die SolarWinds Orion-Produkte \u00dcberwachungswerkzeuge sind, die eine IT-Infrastruktur und deren Netzwerke \u00fcberwachen sollen. Die Software besitzt also entsprechende Privilegien, um auf die Active Directory-Strukturen etc. zuzugreifen. Wer SolarWinds Orion kompromittiert, kann die komplette Infrastruktur, die von den Tools \u00fcberwacht wird, kompromittieren.<\/p><\/blockquote>\n Ein Schock f\u00fcr die USA, und deren Sicherheitsapparat, wobei die Vermutung dahin geht, dass im Auftrag oder mit Billigung des russischen Staats aktive Hacker des russischen Auslands-Geheimdiensts SVR (aka APT 29, Cozy Bear) dahinter stecken. Ich hatte im Blog-Beitrag SolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a> \u00fcber diesen Sachverhalt bzw. die neuesten Erkenntnisse berichtet. Wir werden aber wohl noch l\u00e4nger Neues aus dieser Ecke vernehmen, da gerade erst die Spitze eines Eisbergs sichtbar wurde.<\/p>\n In diesem Beitrag<\/a> berichtet Reuters, dass auch das US Department of Homeland Security (DoH) von diesem Angriff betroffen sei. Das haben Insider der Nachrichtenagentur gesteckt. Es wird ein Team von fortgeschrittenen Hackern, welches auch dort im Umfeld der russischen Regierung vermutet wird, f\u00fcr diesen Angriff verantwortlich gemacht.<\/p>\n Und hier wird es nun sehr interessant. Das Department of Homeland Security ist verantwortlich f\u00fcr die Grenzsicherheit, Cybersicherheit und zuletzt die sichere Verteilung des COVID-19 Impfstoffs. Drei ungenannt bleiben wollende Quellen steckten Reuters<\/a>, dass die E-Mails des DOH von den Hackern mitgelesen werden konnten. Die waren also immer im Bilde, was dort passierte und ob Erkenntnisse \u00fcber die Hacking-Kampagne vorlagen.<\/p>\n Nachdem sich der Rauch so langsam verzieht und die Leute genauer hinschauen, werden die Folgen sichtbar. Potentiell sind alle 300.000 Kunden von der SUNBURST-Schwachstelle betroffen, wenn sie aktualisierte SolarWinds Orion-Software eingesetzt haben. In nachfolgendem Tweet<\/a> zieht Wired Bilanz und konstatiert, dass 'lediglich' 18.000 Firmen\/Organisationen potentiell Opfer des SUNBURST-Trojaners wurden.<\/p>\n Hintergrund: SolarWinds gab in einer Mitteilung an die US-B\u00f6rsenaufsichtsbeh\u00f6rde Securities and Exchange Commission vom Montag an, dass bis zu 18.000 der Kunden potenziell anf\u00e4llig f\u00fcr den Angriff \u00fcber die SUNBURST-Schwachstelle waren bzw. seien. Aktuell laufen weltweit Untersuchungen in Firmen und Beh\u00f6rden, ob man von diesem Vorfall betroffen ist. Reuters berichtet in diesem Artikel<\/a>, dass der britischen Regierung bisher keine Vorf\u00e4lle bekannt seien. Offenbar wurden gezielt US-Beh\u00f6rden ins Visier genommen. Reuters zitiert zwei Quellen mit:<\/p>\n Erste Anzeichen deuten darauf hin, dass die Hacker w\u00e4hlerisch waren, bei wem sie einbrechen wollten. Was wir sehen, ist weit weniger als alle verf\u00fcgbaren M\u00f6glichkeiten. Sie [die Hacker] benutzen das wie ein Skalpell.<\/p><\/blockquote>\n John Hultquist, Director of Intelligence Analysis beim ebenfalls gehackten Unternehmen FireEye meint dazu:<\/p>\n Wenn es sich um Cyberspionage handelt, dann ist es eine der effektivsten Cyberspionage-Kampagnen, die wir seit geraumer Zeit gesehen haben.<\/p><\/blockquote>\n Dem kann man wohl nur zustimmen. Wie oben bereits angedeutet: Opfer und potenzielle Ziele m\u00fcssen die M\u00f6glichkeit in Betracht ziehen, dass diese Angriffe auch einen Gro\u00dfteil ihrer anderen Infrastruktur und Authentifizierungsmechanismen kompromittiert haben.<\/p>\n \"Wir sollten davon ausgehen, dass auch andere Organisationen in der Lieferkette kompromittiert werden\", zitiert Wired David Kennedy, CEO der Threat-Tracking-Firma Binary Defense Systems, der fr\u00fcher bei der NSA und bei der Signal Intelligence Unit des Marine Corps gearbeitet hat. \"Nationalstaaten nutzen diese Art von Angriffen typischerweise f\u00fcr sehr gezielte Operationen. Aber dennoch ist die Auswirkung, von der man ausgehen muss, enorm, und hat direkte Auswirkungen auf die nationale Sicherheit.\"<\/p>\n Ich hatte es im Blog nicht aufgegriffen, aber vor einer Woche (am 9. Dezember 2020) wurde bekannt, dass die Europ\u00e4ische Arzneimittelagentur (EMA) Ziel eines Cyberangriffs geworden ist. Die EMA hielt sich in Bezug auf Details zur\u00fcck. Der Impfstoff-Hersteller Pfizer wurde von der EMA \u00fcber den Hack informiert und teilte folgendes mit:<\/p>\n Bei dem Cyberangriff sei \u201eunrechtm\u00e4\u00dfig\" auf Dokumente im Zusammenhang mit dem Zulassungsantrag f\u00fcr den Corona-Impfstoff von Biontech und Pfizer zugegriffen worden. Es seien jedoch keine Systeme von Biontech oder Pfizer angegriffen worden. Es sei auch nicht bekannt, dass auf pers\u00f6nliche Daten zugegriffen worden sei.<\/p><\/blockquote>\n Einige Informationen sowie die obige Pfizer-Stellungnahme lassen sich in diesem FAZ-Artikel<\/a> nachlesen. Ich habe bei einer Recherche nichts belastbares gefunden, speziell das die EMA keine Details zum Angriff auf einen ihrer Server herausgibt. Aber zumindest steht der Verdacht im Raum, dass auch dort die SUNBURST-Schwachstelle in einem Orion-Produkt ausgenutzt worden sein k\u00f6nnte.<\/p>\n Auf Twitter sind mir die Nacht einige Meldungen unter die Augen gekommen, die ich einfach mal hier einstelle. Es geht um die Frage, wie sich Organisationen vor solche Angriffen sch\u00fctzen k\u00f6nnen. Von Microsoft gibt es seit Sonntag das Dokument Customer Guidance on Recent Nation-State Cyber Attacks<\/a> mit weiteren Details zum Angriff und zu Abwehrma\u00dfnahmen.<\/p>\n In obigem Tweet<\/a> zitiert jemand den Microsoft Hinweis, dass die Angreifer neue Federation Trusts<\/a> auf den vorhandenen Tenants angelegt oder die Eigenschaften der bestehenden Eintr\u00e4ge ge\u00e4ndert haben (siehe auch dieses <\/a>Microsoft<\/a> Dokument zum Thema Konfigurieren einer Verbundvertrauensstellung zwischen Exchange Servern und dem Azure Active Directory-Authentifizierungssystem f\u00fcr Microsoft 365\/Office 365).<\/p>\n In obigem Tweet<\/a> weist jemand auf eine Azure Sentinel-\u00dcberwachung hin, die genau diese \u00c4nderung der ADFS-Einstellungen meldet. Die Details sind auf GitHub nachlesbar<\/a>. Vielleicht f\u00fcr jemand, der in diesem Bereich als Administrator aktiv ist, hilfreich.<\/p>\n Und obiger Tweet<\/a> weist auf die Sunburst Backdoor-Detektion in Splunk hin. Splunk<\/a> ist eine ist eine Log-, Monitoring- und Reporting-Plattform, die Daten nahezu jeder Art und aus nahezu jeder Quelle f\u00fcr Benutzer zug\u00e4nglich und nutzbar macht.<\/p>\n \u00c4hnliche Artikel:<\/strong> Tag 1 nach dem Bekanntwerden der Hackerangriffe auf Firmen und Beh\u00f6rden \u00fcber die SUNBURST-Schwachstelle in SolarWinds-Produkten. So langsam werden die Folgen sichtbar und erste Vorschl\u00e4ge zur Absicherung der Infrastruktur \u00fcber SIEMS-Regeln werden gemacht. Hier ein kurzer \u00dcberblick.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238921","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238921"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238921\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Kurzer R\u00fcckblick: In den Beitr\u00e4gen US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> und FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> hatte ich \u00fcber erfolgreiche Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Beh\u00f6rden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen.<\/p>\n
U.S. Department of Homeland Security auch gehackt<\/h2>\n
Katzenjammer nach SuperHack<\/h2>\n
![](\"https:\/\/i.imgur.com\/48i4Fib.png\")
<\/a><\/p>\nWar die EMA auch betroffen?<\/h3>\n
Erste SIEMS-Abwehrma\u00dfnahmen<\/h2>\n
![\"Sunburst-Folgen\"](\"https:\/\/i.imgur.com\/1Y6XLMd.png\" "\\"Sunburst-Folgen\\"")
<\/a><\/p>\n![\"Azure](\"https:\/\/i.imgur.com\/0I0nu9G.png\" "\\"Azure")
<\/a><\/p>\n![\"Sunburst](\"https:\/\/i.imgur.com\/jLsylKg.png\" "\\"Sunburst")
<\/a><\/p>\n
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"