{"id":238955,"date":"2020-12-16T09:32:21","date_gmt":"2020-12-16T08:32:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238955"},"modified":"2020-12-18T19:39:19","modified_gmt":"2020-12-18T18:39:19","slug":"neues-im-kampf-gegen-die-sunburst-infektion-domain-beschlagnahmt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/16\/neues-im-kampf-gegen-die-sunburst-infektion-domain-beschlagnahmt\/","title":{"rendered":"Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt"},"content":{"rendered":"

[English<\/a>]Der Hackerangriff gegen US-Beh\u00f6rden und Firmen per SUNBURST-Backdoor zieht weitere Kreise. Auch das US-Au\u00dfenministerium und weitere Beh\u00f6rden wurden wohl gehackt. Derweil haben Microsoft und weitere Industriepartner die Domain mit dem C&C-Server beschlagnahmt und hoffen so, die infizierten Systeme aufsp\u00fcren zu k\u00f6nnen.<\/p>\n

<\/p>\n

Der absolute GAU: F\u00fcr SolarWinds und f\u00fcr die USA<\/h2>\n

\"\"So langsam wird die sichtbare Spitze des Eisbergs immer gr\u00f6\u00dfer. Die Lawine wurde ausgel\u00f6st, nachdem der Hack beim Sicherheitsanbieter FireEye vor einigen Wochen bekannt wurde. Ich hatte im Blog-Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> dr\u00fcber berichtet, weil die Hacker die Red Team-Tools dieses Unternehmens gepl\u00fcndert haben. Sicherheitsanbieter FireEye konnte eine breit angelegte Hacker-Kampagne, als UNC2452 bezeichnet, aufdecken. Das Unternehmen hat dann bei den US-Sicherheitsbeh\u00f6rden und -Geheimdiensten Alarm geschlagen, worauf man genauer hingeschaut hat.<\/p>\n

Denn den mutma\u00dflich staatlichen Hackern war ein Coup gelungen: Diese konnten in einem Lieferkettenangriff (Chain-Supply-Attack) den Update-Prozess des Software-Herstellers SolarWinds kompromittieren. So wurde eine mit einem Trojaner infizierte DLL-Datei durch SolarWinds mit Updates seiner Orion-Produktpalette an Kunden ausgeliefert. Es handelt sich dabei um eine Monitoring-Software f\u00fcr Windows, mit der sich eine IT-Infrastruktur (u.a. Datenbanken) und deren Netzwerke \u00fcberwachen l\u00e4sst. Einige Details hatte ich im Blog-Beitrag SolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a> aufgegriffen.<\/p>\n

Und jetzt geht es Schlag auf Schlag. Vor wenigen Tagen wurde bekannt, dass das US-Finanzministerium (US Tresury) und die NTIA (National Telecommunications and Information Administration) gehackt worden waren. Die NTIA ist eine dem Handelsministerium angegliederte Abteilung, die auch f\u00fcr das Internet zust\u00e4ndig ist. Ich hatte im Blog-Beitrag US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> \u00fcber diese beiden F\u00e4lle berichtet.<\/p>\n

Zu diesem Zeitpunkt war mir schon klar, dass es nicht dabei bleiben wird. Denn SolarWinds beliefert neben US-Firmen aus den Fortune 500 auch die gro\u00dfen US-Telekommunikationsunternehmen, alle f\u00fcnf Zweige des US-Milit\u00e4rs und andere prominente Regierungsorganisationen wie das Pentagon, das Au\u00dfenministerium, die NASA, die Nationale Sicherheitsbeh\u00f6rde (NSA), die US-Post, die NOAA, das US-Justizministerium und das B\u00fcro des Pr\u00e4sidenten der Vereinigten Staaten. Auch NATO und Co. sind darunter.<\/p>\n

Dann wurde bekannt, dass das US-Heimatschutzministerium (Department of Homeland Security, DoH) ebenfalls gehackt worden war. Die Angreifer konnten den E-Mail-Verkehr der Beh\u00f6rde \u00fcber Monate unbemerkt verfolgen. Dem CNet-Beitrag hier<\/a> entnehme ich, dass die Liste der gehackten US-Beh\u00f6rden immer l\u00e4nger wird. Auch das US-Au\u00dfenministerium (State Department) und das US-Verteidigungsministerium (Pentagon) sind 'begl\u00fcckt' worden. ZDnet listet<\/a> neben FireEye folgende Stellen als gehackt auf:<\/p>\n