{"id":239572,"date":"2020-12-20T08:52:56","date_gmt":"2020-12-20T07:52:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=239572"},"modified":"2023-05-02T12:51:22","modified_gmt":"2023-05-02T10:51:22","slug":"sunburst-hack-microsofts-analysen-und-neues","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/20\/sunburst-hack-microsofts-analysen-und-neues\/","title":{"rendered":"SUNBURST-Hack: Microsofts Analysen und Neues"},"content":{"rendered":"

[English<\/a>]Der Hack vieler US-Beh\u00f6rden und Firmen \u00fcber die SUNBURST-Backdoor, ausgef\u00fchrt von mutma\u00dflich staatsnahen Hackern, zieht weitere Kreise. Aufgedeckt wurde es wohl eher durch Zufall, US-Pr\u00e4sident Trump zeigt auf die Chinesen und Microsoft legt ausf\u00fchrlichere Analysen vor. Hier ein kleiner \u00dcberblick.<\/p>\n

<\/p>\n

Zum Sachverhalt<\/h2>\n

\"\"Seit Monaten sind zahlreiche US-Beh\u00f6rden und Ministerien sowie Firmen weltweit durch eine Hintert\u00fcr gehackt und Angreifern ist es gelungen, zahlreiche Dokumente abzuziehen. In den Beitr\u00e4gen US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> und FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> hatte ich erstmals \u00fcber diese Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Beh\u00f6rden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen.<\/p>\n

Es ist eine riesige Spionage-Aktion, die, wegen der Raffinesse und des Aufwands staatsnahen Hackern zugeschrieben wird. Denn den Angreifern ist es gelungen, Updates f\u00fcr eine breit im Einsatz befindliche Netzwerk-\u00dcberwachungssoftware (SolarWinds Orion) durch einen SUNBURST genannten Trojaner zu verseuchen. Ich hatte in den am Artikelende verlinkten Beitr\u00e4gen ausf\u00fchrlich berichtet.<\/p>\n

Der Fall hat nach meiner Wahrnehmung eine neue Dimension angenommen und d\u00fcrfte die US-IT-Landschaft im Markt ersch\u00fcttern. Gewissheiten der Art 'wir sind die besten, wir sind sicher, uns kann niemand was' sind da gerade \u00fcber den Jordan gegangen. Wired schreibt hier<\/a>, dass Experten die USA schlecht bei der Abwehr von Supply-Chain-Angriffen, wie es hier der Fall war, aufgestellt sehen.<\/p>\n

Trump spielt den Fall herunter<\/h2>\n

In den Medien und in Beh\u00f6rden wird seit dem Bekanntwerden auf Russland als Nutznie\u00dfer der Spionage-Aktion gezeigt. In diesem Artikel<\/a> hei\u00dft es, man habe bereits ein offizielles Statement f\u00fcr letzten Freitag erstellt gehabt, welches Russland als Urheber bezeichnet. Aber es gab einen Ver\u00f6ffentlichungsstopp.<\/p>\n

\"Trump-Tweets<\/a><\/p>\n

Nur 'Noch US-Pr\u00e4sident' Donald Trump hat seine eigene Sicht der Dinge (siehe auch hier<\/a>). In obigen Tweets<\/a> spielt er den Hack herunter und schreibt, dass es ja auch\u00a0 China gewesen sein k\u00f6nne (w\u00e4re nicht ausgeschlossen). Aber das witzige ist, dass er es gleich mit Minipulation der Wahlmaschinen in Verbindung bringt und behauptet, dass die Wahl gestohlen sei. Twitter hat diesen Tweet mit einer Warnung versehen, dass Joe Biden der Gewinner der US-Wahl sei. Sch\u00e4tze, es wird Zeit, dass das 'gr\u00f6\u00dfte Genie der USA' langsam aus dem wei\u00dfen Haus verschwindet.<\/p>\n

Hack wurde durch Zufall bekannt<\/h2>\n

Ich hatte es in meinen Beitr\u00e4gen schon mal angedeutet: Der Fehler der Staatshacker war es wohl, dass man nicht wiederstehen konnte, den Sicherheitsanbieter FireEye zu infiltrieren und deren Red Team-Tools zu entwenden. Denn das Milliarden schwere EINSTEIN-Programm, welches die IT von US-Beh\u00f6rden vor solchen Angriffen sch\u00fctzen soll, hat versagt und nichts gemerkt. Die Washington Post schreibt hier<\/a>, dass die ganze Operation durch einen Zufall aufgeflogen ist.<\/p>\n

Der Angriff von SolarWinds entging den US-Sicherheitsma\u00dfnahmen so sehr, dass er nicht von Geheimdienstmitarbeitern entdeckt wurde, sondern fast zuf\u00e4llig dank einer automatischen Sicherheitswarnung, die in den letzten Wochen an einen Mitarbeiter von FireEye gesendet wurde, der selbst in aller Stille kompromittiert worden war.<\/p>\n

Die Warnung, die auch an das Sicherheitsteam des Unternehmens geschickt wurde, teilte dem Mitarbeiter von FireEye mit, dass jemand die Anmeldedaten des Mitarbeiters verwendet hatte, um sich von einem nicht erkannten Ger\u00e4t aus in das virtuelle private Netzwerk des Unternehmens einzuloggen – die Art von Sicherheitsnachricht, die Unternehmensmitarbeiter routinem\u00e4\u00dfig l\u00f6schen.<\/p><\/blockquote>\n

H\u00e4tte dies nicht die Aufmerksamkeit der FireEye-F\u00fchrungskr\u00e4fte erregt, w\u00e4re der Angriff wahrscheinlich immer noch nicht entdeckt worden. Der Teufel ist ein Eichh\u00f6rnchen, und ab diesem Moment kam die Sache ans Rollen.<\/p>\n

Microsoft legt zwei Analysen vor<\/h2>\n

F\u00fcr Leute, die in der Administration von Unternehmensnetzwerken unterwegs sind, m\u00f6chte ich noch auf zwei Analysen von Microsoft verweisen, die etwas tiefer auf die Geschichte eingehen. Es gibt eine sch\u00f6ne Analyse des Microsoft 365 Defender Research Teams: Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers<\/a>. Der Defender von Microsoft erkennt den Trojaner (siehe auch hier<\/a>).<\/p>\n

Und es gibt ein weiteres Dokument des Microsoft 365 Defender Threat Intelligence Team Ensuring customers are protected from Solorigate<\/a> welches sich mit Abwehrma\u00dfnahmen befasst. Von Microsoft gibt es zudem das Dokument Customer Guidance on Recent Nation-State Cyber Attacks<\/a> mit weiteren Details.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Hack vieler US-Beh\u00f6rden und Firmen \u00fcber die SUNBURST-Backdoor, ausgef\u00fchrt von mutma\u00dflich staatsnahen Hackern, zieht weitere Kreise. Aufgedeckt wurde es wohl eher durch Zufall, US-Pr\u00e4sident Trump zeigt auf die Chinesen und Microsoft legt ausf\u00fchrlichere Analysen vor. Hier ein kleiner \u00dcberblick.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239572","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239572"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239572\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}