{"id":243441,"date":"2021-01-27T08:01:10","date_gmt":"2021-01-27T07:01:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243441"},"modified":"2023-09-25T22:50:07","modified_gmt":"2023-09-25T20:50:07","slug":"vier-sicherheitsanbieter-besttigen-solarwinds-vorflle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/27\/vier-sicherheitsanbieter-besttigen-solarwinds-vorflle\/","title":{"rendered":"Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle"},"content":{"rendered":"

[English<\/a>]Die Solarigate-Geschichte geht weiter. Jetzt haben vier Anbieter von Sicherheitsprodukten \"Vorf\u00e4lle\" im Zusammenhang mit den Lieferketten-Angriffen (supply chain attack) \u00fcber SolarWinds Orion-Produkte bekannt gegeben.<\/p>\n

<\/p>\n

\"\"Vor einigen Tagen hatte ich im Blog-Beitrag Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a> erw\u00e4hnt, dass der Sicherheitsanbieter Malwarebytes Opfer der Solarigate-Angriffe wurde. \"\"Der erste erfolgreich gehackte Sicherheitsanbieter war allerdings FireEye, siehe FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>. Die Liste der Unternehmen, die Opfer der Lieferketten-Angriffe (supply chain attack) \u00fcber die Backdoor in SolarWinds Orion-Produkte geworden sind, muss leider um vier Namen von Sicherheitsanbietern erweitert werden. Ich bin die Nacht auf Twitter<\/a> \u00fcber die nachfolgende Information von Catalin Cimpanu gestolpert, der das Ganze in einem Artikel auf ZDNet.com<\/a> zusammen getragen hat.<\/p>\n

\"Solarigate:<\/a><\/p>\n

Die Cybersicherheitsanbieter Mimecast, Palo Alto Networks, Qualys und Fidelis haben bekannt gegeben, dass sie Opfer der Solarigate-Angriffe der SolarWinds-Hackergruppe sind.<\/p>\n

Mimecast gehackt<\/h2>\n

Die Mimecast Limited<\/a> ist ein auf der Kanal-Insel Jersey (Steuerparadies) ans\u00e4ssiges Unternehmen mit Hauptsitz in Gro\u00dfbritannien, das sich auf cloudbasiertes E-Mail-Management f\u00fcr Microsoft Exchange und Microsoft Office 365 spezialisiert hat. Das umfasst auch Sicherheits-, Archivierungs- und Kontinuit\u00e4tsdiensten zum Schutz von Business-Mails. Am 12. Januar 2021 gestand Mimecast<\/a> in einer Warnung an seine Kunden, dass Hacker eines seiner digitalen Zertifikate abgegriffen und missbraucht habe, um Zugang zu einigen Microsoft 365-Konten seiner Kunden zu erhalten.<\/p>\n

Zu den Produkten, die dieses Zertifikat verwendeten, geh\u00f6ren Mimecast Sync and Recover, Continuity Monitor und IEP-Produkte, wie das Unternehmen in einer ver\u00f6ffentlichten Nachricht<\/a> mitteilte (ich hatte das mitbekommen, aber aus Zeitmangel nicht im Blog aufgegriffen). Mimecast gab an, dass etwa 10 % aller Kunden die betroffenen Produkte mit diesem speziellen Zertifikat verwendet haben. Der Bedrohungsakteur habe das gestohlene Zertifikat missbraucht, um Zugriff auf nur eine Handvoll der Microsoft 365-Konten dieser Kunden zu erhalten. Jetzt best\u00e4tigte Mimecast in diesem aktualisierten Beitrag<\/a> den Angriff im Rahmen der SolarWinds-Angriffe.<\/p>\n

Palo Alto Networks Sicherheitsvorfall<\/h2>\n

Palo Alto Networks, Inc<\/a>. ist ein amerikanisches multinationales IT-Sicherheitsunternehmen mit Hauptsitz in Santa Clara, Kalifornien. Seine Kernprodukte sind eine Plattform, die fortschrittliche Firewalls und Cloud-basierte Angebote umfasst, die diese Firewalls um weitere Sicherheitsaspekte erweitern. Palo Alto Networks informierte wohl den investigativen Forbes-Reporter Thomas Brewster<\/a>, dass man im September und Oktober 2020 zwei Sicherheitsvorf\u00e4lle entdeckt habe.<\/p>\n

Damals kam man nicht auf den Gedanken, dass es eine Supply-Chain-Attacke, der auch FireEye zum Opfer fiel, sein k\u00f6nnte. Erst nachdem die Informationen \u00fcber die SolarWinds-Angriffe \u00f6ffentlich wurden, konnte die Verbindung zwischen den beiden Vorf\u00e4llen mit dem Angriff \u00fcber die SolarWinds-Software hergestellt werden. Palo Alto Networks gibt an, dass die Untersuchung der Vorf\u00e4lle nicht viel ergeben habe. Man ist zum Schluss gekommen, dass der versuchte Angriff nicht erfolgreich war und keine Daten kompromittiert wurden.\"<\/p>\n

Auch QUALYS m\u00f6glicherweise betroffen<\/h2>\n

Qualys, Inc.<\/a> bietet Cloud-Sicherheit, Compliance und damit verbundene Dienste an und hat seinen Sitz in Foster City, Kalifornien. Laut dem oben zitierten Forbes-Artikel hat Erik Hjelmvik, der Gr\u00fcnder des Netzwerksicherheitsunternehmens Netresec, eine Liste von 23 neue Domains aufgef\u00fchrt, die von den SolarWinds-Hackern verwendet wurden, um Nutzdaten der zweiten Stufe in infizierte Netzwerke einzuschleusen, die sie als besonders wertvoll einstuften.<\/p>\n

Zwei dieser 23 neuen Domains waren \"corp.qualys.com\", was darauf hindeutet, dass der Cybersecurity-Auditing-Riese Qualys das Ziel der Angreifer gewesen sein k\u00f6nnte. Gegen\u00fcber Forbes erkl\u00e4rte Qualys jedoch, dass seine Techniker eine trojanisierte Version der SolarWinds Orion-App in einer Laborumgebung zu Testzwecken installiert hatten, die vom prim\u00e4ren Netzwerk getrennt war. Bei einer anschlie\u00dfenden Untersuchung seien keine Beweise f\u00fcr weitere b\u00f6sartige Aktivit\u00e4ten oder Datenexfiltration gefunden worden.<\/p>\n

Einige Sicherheitsforscher schenken der Aussage des Unternehmens jedoch keinen Glauben<\/a>. Sie vermuten, dass die Domain \"corp.qualys.com\" darauf hindeutet, dass die Hacker Zugang zum prim\u00e4ren Netzwerk des Unternehmens erhalten haben und nicht zu einer Laborumgebung, wie das Unternehmen behauptet. Der Fall bleibt mysteri\u00f6s.<\/p>\n

Fidelis best\u00e4tigt Angriff<\/h2>\n

Fidelis<\/a><\/em> ist ebenfalls ein Cybersecurity-Unternehmen, welches die Sicherheit in Unternehmen verbessern m\u00f6chte. In einem Blog-Beitrag<\/a> gibt ein Fidelis-Manager bekannt, dass man im Mai 2020 eine trojanisierte Version der SolarWinds Orion-App als Teil einer \"Software-Evaluierung\" installiert habe. \"Die Software-Installation wurde auf einer Maschine durchgef\u00fchrt, die als Testsystem konfiguriert, von unserem Kernnetzwerk isoliert und nur selten eingeschaltet war\", sagte Chris Kubic, der Fidelis-Manager. Fidelis gibt an, dass trotz der Bem\u00fchungen des Angreifers, einen Zugang innerhalb des internen Netzwerks von Fidelis zu eskalieren, das Unternehmen glaubt, dass das Testsystem \"ausreichend isoliert und zu selten eingeschaltet war, als dass der Angreifer es zur n\u00e4chsten Stufe des Angriffs h\u00e4tte bringen k\u00f6nnen.\"<\/p>\n

Zum Hintergrund<\/h2>\n

Seit Dezember 2020 ersch\u00fcttert eine gro\u00df angelegte Hacker-Kampagne die IT-Welt, speziell der USA aber auch anderer L\u00e4nder. Mutma\u00dflich staatlichen Hackern war es gelungen, eine Backdoor in die SolarWinds Orion-Software einzuschleusen. Diese SolarBurst-Backdoor wurden dann mit einem regul\u00e4ren SolarWinds Orion-Software-Update an 18.000 Kunden ausgeliefert. Die Orion-Software wird von vielen Beh\u00f6rden und Unternehmen eingesetzt.<\/p>\n

Inzwischen ist bekannt, dass die Akteure \u00fcber diese Backdoor, aber auch \u00fcber weitere Malware \u00fcber 100 US-Beh\u00f6rden und Firmen gehackt haben, um dort Informationen abzugreifen. Die Hacker konnten sich \u00fcber Monate unentdeckt in den Netzwerken der Opfer bewegen. Der Fall wurde bekannt, weil die Hacker die sogenannten Red-Team-Tools des Sicherheitsanbieters FireEye bei einem Hack entwendeten und dieser Angriff einem Angestellten des Unternehmens auffiel. Nachfolgende Artikel enthalten weitere Informationen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
\nGibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
\nNeues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a>
\nKaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a>
\nSolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a>
\nAuch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Solarigate-Geschichte geht weiter. Jetzt haben vier Anbieter von Sicherheitsprodukten \"Vorf\u00e4lle\" im Zusammenhang mit den Lieferketten-Angriffen (supply chain attack) \u00fcber SolarWinds Orion-Produkte bekannt gegeben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-243441","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243441"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243441\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}