{"id":280276,"date":"2023-04-29T08:00:00","date_gmt":"2023-04-29T06:00:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280276"},"modified":"2023-05-12T15:38:26","modified_gmt":"2023-05-12T13:38:26","slug":"solarwinds-hack-in-2020-das-us-justizministerium-wusste-6-monate-vorher-bescheid","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/29\/solarwinds-hack-in-2020-das-us-justizministerium-wusste-6-monate-vorher-bescheid\/","title":{"rendered":"SolarWinds Hack in 2020: Das US-Justizministerium wusste 6 Monate vorher Bescheid"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Erinnert sich noch jemand an den Lieferkettenangriff auf die Orion-Software der Firma SolarWinds im Jahr 2020? Das sendete Schockwellen durch die IT-Landschaft, weil massenhaft IT-Systeme gehackt wurden. Jetzt kommt heraus, dass das US-Justizministerium sechs Monate bevor das Ganze \u00f6ffentlich wurde, den Vorfall in eigenen Netzwerken bemerkte, die Brisanz aber nicht erkannte. Auch Gr\u00f6\u00dfen wie Microsoft, Mandiant oder SW, die hinzugezogen wurden, schauten auf den Vorfall bei SolarWinds, ohne sich sofort der Brisanz bewusst zu werden. Dies erm\u00f6glichte den Angreifern sich in Ruhe auf den kompromittierten Systemen umzusehen.<\/p>\n

<\/p>\n

\"\"Ich hatte ja \"\"ausgiebig hier im Blog \u00fcber den SolarWinds-Hack der Orion-Software berichtet, siehe den Beitrag FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a> und die am Artikelende verlinkten Beitr\u00e4ge. Auch viele US-Beh\u00f6rden wurden durch die russischen Angreifer in ihren IT-Systemen infiltriert (siehe US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>). Das Ganze ging von einem Lieferkettenangriff auf die SolarWinds Orion-Software aus, die in vielen Unternehmen eingesetzt wurde.<\/p>\n

Nachfolgender Tweet<\/a> deckt nun auf, dass sowohl das US-Justizministerium als auch Gr\u00f6\u00dfen wie Microsoft, Mandiant oder SW auf den Vorfall schauten, ohne wiklich dessen Brisanz zu erkennen. Die IT-Spezialisten hatten Anzeichen f\u00fcr einen Einbruch in die IT-Systeme gesehen. Aber erst sechs Monate sp\u00e4ter gab es von Mandiant eine Offenlegung der Kampagne der Angreifer. Wired hat diese Geschichte im Beitrag The DOJ Detected the SolarWinds Hack 6 Months Earlier Than First Disclosed<\/a> aufgedeckt.<\/p>\n

Ministerium entdeckt den Hack<\/h2>\n

Bereits Ende Mai 2020 bemerkte das US-Justizministerium russische Hacker in seinem Netzwerk, erkannte aber erst nach sechs Monaten die Bedeutung des Fundes, schreibt Wired. Der Verdacht wurde ausgel\u00f6st, als das IT-Personal des Ministeriums ungew\u00f6hnlichen Datenverkehr entdeckte. Dieser Datenverkehr ging von einem seiner Server aus, auf dem eine Testversion des Orion-Softwarepakets von SolarWinds lief, so sagten Quellen, die mit dem Vorfall vertraut sind. Die Software, die von Systemadministratoren zur Verwaltung und Konfiguration von Netzwerken verwendet wird, kommunizierte extern mit einem unbekannten System im Internet.<\/p>\n

Das Justizministerium beauftragte das Sicherheitsunternehmen Mandiant mit der Untersuchung, ob der Server gehackt worden war. Zus\u00e4tzlich wurde auch Microsoft hinzugezogen, obwohl nicht klar ist, warum der Softwarehersteller ebenfalls in die Untersuchung einbezogen wurde. Die Spezialisten der beauftragten Firmen vermuteten, dass die die Hacker direkt in den DOJ-Server eingedrungen waren, m\u00f6glicherweise durch Ausnutzung einer Schwachstelle in der Orion-Software.<\/p>\n

Die Software-Spezialisten wandten sich an SolarWinds, um Unterst\u00fctzung bei der Untersuchung zu bekommen. Aber die Entwickler von SolarWinds konnten keine Schwachstelle in ihrem Code finden. Im Juli 2020, als das R\u00e4tsel immer noch nicht gel\u00f6st war, wurde die Kommunikation zwischen den Ermittlern und SolarWinds eingestellt. Einen Monat sp\u00e4ter kaufte das DOJ das Orion-System, was darauf hindeutet, dass die Beh\u00f6rde davon \u00fcberzeugt war, dass von der Orion-Suite keine weitere Bedrohung ausging, so die Quellen.<\/p>\n

Im Dezember 2020 wird das Ausma\u00df deutlich<\/h2>\n

Erst im November 2020 bemerkte Mandiant, dass man selbst gehackt worden war. Bei der Untersuchung dieses Vorfalls stellte sich dann heraus, dass der Hack \u00fcber einen Lieferkettenangriff auf die SolarWinds Orion-Software erfolgt war. Im Dezember 2020 schlug das Ganze dann riesige Wellen, als Mandiant an die \u00d6ffentlichkeit ging. Denn nun wurde bekannt, dass russische Hacker den Softwarehersteller SolarWinds gehackt und eine Hintert\u00fcr in die Orion-Software eingebaut hatten. Die Orion-Software wurde von rund 18 000 Kunden des Unternehmens genutzt. Die Hintert\u00fcr kam quasi per Update der SolarWinds Orion-Software auf die Systeme.<\/p>\n

Diese kompromittierte Orion-Software infizierte anschlie\u00dfend mindestens neun US-Bundesbeh\u00f6rden. Darunter befand sich auch das US-Justizministerium (DOJ), das Verteidigungsministerium (DoD), das Heimatschutzministerium und das Finanzministerium, sowie f\u00fchrende Technologie- und Sicherheitsunternehmen wie Microsoft, Mandiant, Intel, Cisco und Palo Alto Networks. Die Hacker waren zwischen vier und neun Monaten in diesen verschiedenen Netzwerken aktiv, bevor die Kampagne von Mandiant aufgedeckt wurde.<\/p>\n

So viel zu \"wir sorgen f\u00fcr eure Sicherheit\" – es ist zwar komplex, solche Lieferkettenangriffe aufzudecken. Aber die Vorstellung, eine gute Virenschutzsoftware, ggf. mit KI-Unterst\u00fctzung, wird das schon abwehren, ist unter diesem Umst\u00e4nden naiv. SIEM-Systeme (Security Information and Event Management) helfen ggf. zwar, ungew\u00f6hnliche Aktivit\u00e4ten aufzudecken. Aber die Analyse muss immer noch von Spezialisten erfolgen, und dann h\u00e4ngt es davon ab, wie schnell die den Fall durchdringen. Und der Fall zeigt wieder einmal, wie wichtig ein Austausch von Informationen zwischen Sicherheitsspezialisten sowie die fr\u00fchzeitige Information des Fachpublikums ist.<\/p>\n

Erg\u00e4nzung:<\/strong> Wired hat einen weiteren Artikel<\/a> zum Thema mit weiteren Insides ver\u00f6ffentlicht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
\nGibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
\nNeues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a>
\nKaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a>
\nSolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a>
\nAuch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a>
\nVier Sicherheitsanbieter best\u00e4tigen SolarWinds-Vorf\u00e4lle<\/a>
\nNeues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht<\/a>
\nMicrosoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune<\/a>
\nVorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt<\/a>
\nSolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung<\/a>
\nSolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus<\/a>
\nSolarWinds: Update f\u00fcr Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten<\/a>
\nSolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber<\/a>
\nMicrosoft Insides zum SolarWinds Orion SunBurst-Hack<\/a>
\nSolarWinds-Angreifer nehmen Microsoft-Partner ins Visier \u2013 fehlende Cyber-Sicherheit bem\u00e4ngelt<\/a>
\nSolarWinds-Kunden sollten Web Help Desk entfernen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Erinnert sich noch jemand an den Lieferkettenangriff auf die Orion-Software der Firma SolarWinds im Jahr 2020? Das sendete Schockwellen durch die IT-Landschaft, weil massenhaft IT-Systeme gehackt wurden. Jetzt kommt heraus, dass das US-Justizministerium sechs Monate bevor das Ganze \u00f6ffentlich wurde, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-280276","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280276"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280276\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}