![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch ein kleiner Nachtrag zum SolarWinds-Hack, bei dem zehntausende Systeme durch SolarWinds-Software-Updates kompromittiert wurden. Microsoft hat die Untersuchung zu Solarigate, wie die Operation genannt wird, abgeschlossen. Man glaubt, um die digitalen Fingerabdr\u00fccke von um die Tausend verschiedene Hacker beobachtet zu haben. Zudem wurde best\u00e4tigt, dass die Hacker Teile des Quellcodes von Azure, Exchange und Intune einsehen konnten.<\/p>\n
<\/p>\n
Es ist eine riesige Spionage-Aktion, die, wegen der Raffinesse und des Aufwands staatsnahen Hackern zugeschrieben wird. Denn den Angreifern ist es gelungen, Updates f\u00fcr eine breit im Einsatz befindliche Netzwerk-\u00dcberwachungssoftware (SolarWinds Orion) durch einen SUNBURST genannten Trojaner zu verseuchen. Ich hatte in den am Artikelende verlinkten Beitr\u00e4gen ausf\u00fchrlich berichtet. <\/p>\n Dass ein Angriff auf die Lieferkette oft trivial ist, haben Sicherheitsforscher k\u00fcrzlich demonstriert. Dazu luden Sie schlicht Malware in Open-Source-Repositories wie PyPI, npm und RubyGems. Auf diese Weise wurde die Malware dann automatisch in die internen Anwendungen des Unternehmens verteilt – trivialer geht's (n)immer. Dem Sicherheitsforscher ist es so gelungen, in die internen Systeme von mehr als 35 gro\u00dfen Unternehmen, darunter Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla und Uber einzudringen. Die Kollegen von Bleeping Computer haben einen Artikel<\/a> mit mehr Details ver\u00f6ffentlicht. <\/p>\n Und dann gibt es noch die schmutzigen Geheimnisse der Cyber-Armeen diverser L\u00e4nder. K\u00fcrzlich bin ich bei Wired auf diesen Artikel<\/a> gesto\u00dfen, der einige Geheimnisse von 0-day-Brokern beleuchtet, die \u00fcber Jahre im Verborgenen gute Gesch\u00e4fte machen konnten. <\/p>\n<\/blockquote>\n Der Fall hat nach meiner Wahrnehmung eine neue Dimension angenommen und d\u00fcrfte die US-IT-Landschaft im Markt ersch\u00fcttern. Gewissheiten der Art \"wir sind die besten, wir sind sicher, uns kann niemand was\" sind da gerade \u00fcber den Jordan gegangen. Wired schreibt hier<\/a>, dass Experten die USA schlecht bei der Abwehr von Supply-Chain-Angriffen, wie es hier der Fall war, aufgestellt sehen. Und in diesem Artikel<\/a> schreibt Wired, dass Russlands SolarWinds-Hack ein historisches Chaos angerichtet habe. <\/p>\n Brad Smith, Pr\u00e4sident von Microsoft, sagte, dass eine interne Analyse zum SolarWinds-Hack darauf hindeutet, dass der Code hinter dem Crack die Arbeit von tausend oder mehr Entwicklern war. In der US-Nachrichtensendung \"60 Minutes\" bezeichnete Smith den Angriff als \"den gr\u00f6\u00dften und raffiniertesten Angriff, den die Welt je gesehen hat\" – was aber von einigen Sicherheitsforschern anders gesehen wird. In diesem Artikel<\/a> wird Smith aus dem Interview folgenderma\u00dfen zitiert.<\/p>\n Als wir alles analysiert haben, was wir bei Microsoft gesehen haben, haben wir uns gefragt, wie viele Ingenieure wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir gekommen sind, war, na ja, sicherlich mehr als 1.000.<\/p>\n Was wir hier sehen, ist die erste Anwendung dieser Taktik zur Unterbrechung der Lieferkette gegen die Vereinigten Staaten. Aber es ist nicht das erste Mal, dass wir so etwas erleben. Die russische Regierung hat diese Taktik in der Ukraine wirklich entwickelt.<\/p>\n<\/blockquote>\n Smith sagte nicht, f\u00fcr wen diese 1.000 Entwickler arbeiteten, oft f\u00fchrt dies zu \"Irritationen\" und mit absoluter Sicherheit lassen sich solche Operationen selten zuordnen. Die Kollegen von heise haben in diesem Artikel<\/a> die Herausforderungen der T\u00e4tersuche nachgezeichnet. Smith verglich aber den SolarWinds-Hack mit Angriffen auf die Ukraine, die vor Jahren stattfanden. Diese Angriffe werden weithin Russland zugeschrieben (das eine Beteiligung bestreitet). Die Kollegen von heise haben diesen deutschsprachigen Beitrag<\/a> zum Thema ver\u00f6ffentlicht. Und k\u00fcrzlich glaubten Sicherheitsforscher eine bestimmte Malware einer chinesischen Hackergruppe zuordnen zu k\u00f6nnen, wie man hier lesen<\/a> kann. Ist aber alles immer ein operieren mit Wahrscheinlichkeiten.<\/p>\n Ich hatte ja bereits im Blog-Beitrag SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a> berichtet, dass Microsoft eingestehen musste, dass die Solarigate-Angreifer auch Zugriff auf Teile des Quellcodes von Microsoft-Produkten hatten. Nun ist klar, dass die Quellcodes von Azure, Exchange und Intune eingesehen wurden. Nachfolgender Tweet<\/a> weist auf diesen Sachverhalt hin. <\/p>\n Microsoft hat die Details in einem finalen Abschlussbericht mit dem Titel Microsoft Internal Solorigate Investigation \u2013 Final Update<\/a> ver\u00f6ffentlicht. Interessant ist, dass die Zugriffsversuche noch Anfang Januar 2021 stattfanden, nachdem die gesamte Operation \u00f6ffentlich l\u00e4ngst bekannt war. Microsoft schreibt: Es gab keinen Fall, in dem auf alle Repositories zu einem einzelnen Produkt oder Dienst zugegriffen wurde. Es gab keinen Zugriff auf die gro\u00dfe Mehrheit des Quellcodes. Bei fast allen Code-Repositories, auf die zugegriffen wurde, wurden nur wenige einzelne Dateien als Ergebnis einer Repository-Suche angezeigt.<\/p>\n Auf eine kleine Anzahl von Repositories wurde zus\u00e4tzlich zugegriffen, in einigen F\u00e4llen auch durch das Herunterladen von Komponenten-Quellcode. Diese Repositories enthielten Code f\u00fcr:<\/p>\n Die Auswertung der von den Angreifern verwendeten Suchbegriffe best\u00e4tigten, dass die Hacker erwartungsgem\u00e4\u00df darauf aus waren, Geheimnisse wie feste Kennw\u00f6rter oder Backdoors im Quellcode zu finden. Microsofts Entwicklungsrichtlinie verbieten aber, solche Geheimnisse im Quellcode zu hinterlegen. Microsoft l\u00e4sst auch automatisierte Tools laufen, um die Einhaltung dieser Vorgaben zu \u00fcberpr\u00fcfen. Aufgrund der entdeckten Aktivit\u00e4t haben die Forensiker bei Microsoft sofort einen \u00dcberpr\u00fcfungsprozess f\u00fcr aktuelle und historische Zweige der Repositories eingeleitet. Es wurde dann festgestellt, dass die Repositories der internen Richtlinie entsprachen und keine produktiven Anmeldedaten enthielten. <\/p>\n Insgesamt liest sich das so, als ob Microsoft mit einem blauen Auge davon gekommen sei. Aber der Fall zeigt, wie wackelig das ganze Gesch\u00e4ft der Software-Entwicklung sowie der Betrieb von IT-Systemen geworden ist. Wenn Firmen wie Microsoft schon geknackt werden, wie sollen da KMUs aus der Nachbarschaft mit fehlender IT diese Aufgabe bew\u00e4ltigen. Wenn ich so die Sicherheitsvorf\u00e4lle der letzten Jahre betrachte, beschleicht mich das Gef\u00fchl, dass wir auf ein Amaggedon<\/a> der IT zu schlittern – oder wie seht ihr das?<\/p>\n \u00c4hnliche Artikel:<\/strong> Noch ein kleiner Nachtrag zum SolarWinds-Hack, bei dem zehntausende Systeme durch SolarWinds-Software-Updates kompromittiert wurden. Microsoft hat die Untersuchung zu Solarigate, wie die Operation genannt wird, abgeschlossen. Man glaubt, um die digitalen Fingerabdr\u00fccke von um die Tausend verschiedene Hacker beobachtet zu … Weiterlesen Seit Monaten sind zahlreiche US-Beh\u00f6rden und Ministerien sowie Firmen weltweit durch eine Hintert\u00fcr gehackt und Angreifern ist es gelungen, zahlreiche Dokumente abzuziehen. In den Beitr\u00e4gen US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> und FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> hatte ich erstmals \u00fcber diese Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Beh\u00f6rden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen. Weitere Artikel finden sich am Ende des Beitrags verlinkt. <\/p>\n
\n
Microsoft geht von 1.000 Hackern aus<\/h2>\n<\/p>\n
\n
Hacker greifen auf Microsofts Quellcode zu<\/h2>\n
![](\"https:\/\/i.imgur.com\/oiIW9Qp.png\"\/)
<\/a><\/p>\n\n
FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
SUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
Schlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
SUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
SolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
SUNBURST-Hack: Microsofts Analysen und Neues<\/a>
SolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
Gibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a>
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a>
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a>
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a>
Vier Sicherheitsanbieter best\u00e4tigen SolarWinds-Vorf\u00e4lle<\/a>
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"