{"id":241155,"date":"2021-01-04T22:54:02","date_gmt":"2021-01-04T21:54:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241155"},"modified":"2022-08-19T08:55:46","modified_gmt":"2022-08-19T06:55:46","slug":"solarwinds-hack-motive-der-angreifer-outsourcing-als-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/04\/solarwinds-hack-motive-der-angreifer-outsourcing-als-schwachstelle\/","title":{"rendered":"SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?"},"content":{"rendered":"

[English<\/a>]Es kommen immer mehr Details zum SolarWinds-Hack ans Tageslicht und es tauchen mehr und mehr Fragen auf. Es gibt eine gro\u00dfe Zahl Betroffener, so dass sich die Frage nach den Zielen der Angreifer stellt. Zudem wird die Frage lauter, warum die Fr\u00fchwarnsysteme der USA nicht anschlugen und es wird gepr\u00fcft, ob ein Outsourcing an SolarWinds-Dependanzen in Osteuropa den Angriff erst erm\u00f6glichte.<\/p>\n

<\/p>\n

\"\"Der SolarWinds-Hack trifft die USA und deren Administration ins Mark. Mutma\u00dflich staatlichen Angreifern war es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Das Ganze wurden dann als digital signiertes Update an alle Nutzer der SolarWinds Orion-Software verteilt. Die Hacker konnten \u00fcber viele Monate unbemerkt auf die Systeme der Opfer zugreifen und sich dort festsetzen. Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen).<\/p>\n

Warnsystem schl\u00e4gt nicht an<\/h2>\n

Die Hacker konnten sich vermutlich sei 9 Monaten (m\u00f6glicherweise sogar l\u00e4nger) unbemerkt in den kompromittierten Systemen umsehen. Nur einem aufmerksamen Mitarbeiter der ebenfalls gehackten Sicherheitsfirma FireEye ist es zu verdanken, dass mal genauer hingeschaut wurde. Denn dieser klickte eine Warnung, dass jemand sich mit seinem Konto angemeldet habe, nicht einfach weg, sondern schlug Alarm und stie\u00df so eine Analyse des Sachverhalts an. An deren Ende war klar, dass der Sicherheitsanbieter FireEye \u00fcber die SolarWinds Orion-Software gehackt worden war und die Angreifer Red Team-Tools entwenden konnten (siehe FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>).<\/p>\n

Die US-Beh\u00f6rden br\u00fcsteten sich damit, eine Fr\u00fcherkennungssoftware zur \u00dcberwachung solcher Angriffe zu haben. Und die Systeme der Opfer waren eigentlich gen\u00fcgend instrumentiert, um Hackerangriffe zu erkennen. Ich hatte bereits im Blog-Beitrag SUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a> darauf hin gewiesen, dass die \u00dcberwachungssoftware EINSTEIN bez\u00fcglich des SolarWinds-Hacks 'blind' gewesen sei. Inzwischen wird diese Frage in den USA, warum man nichts bemerkt hat, immer dringlicher gestellt. Immerhin fand der Hack sowie die Infektion der Software-Systeme Monate vorher statt. Eine m\u00f6gliche Erkl\u00e4rung: Die Furcht vor einiger Manipulation der US-Wahlcomputer zur Pr\u00e4sidentenwahl k\u00f6nnte die Aufmerksamkeit von diesem Hack abgelenkt haben. Allerdings f\u00fcrchte ich, dass dies 'Pfeifen im Wald' ist, denn vieles ist in der IT sicherheitstechnisch schlicht kaputt.<\/p>\n

Einfallstor osteurop\u00e4ische Entwickler?<\/h2>\n

Inzwischen gr\u00e4bt man tiefer und die Amerikaner bzw. auch die Anwender der Orion-Software m\u00fcssen sich weitere unangenehme Fragen stellen. The New York Times greift in diesem Artikel<\/a> folgende Punkte auf.<\/p>\n