Passwort "Solarwinds123"

Update: Unvorsichtiger Praktikant löst Solarwinds-Hack aus - vielleicht

Uhr
von Yannick Chavanne und Eric Belot und Übersetzung: Colin Wallace, Milena Kälin, René Jaun

Über eine Schwachstelle in der IT-Managementplattform Orion von Solarwinds sind Hacker in hunderte von Unternehmensnetzwerken eingedrungen. An einer Anhörung vor dem US-Senat sagte Solarwinds nun, ein Praktikant habe entgegen interner Vorschriften Passwörter veröffentlicht. Ob ein Zusammenhang zum Angriff besteht, ist jedoch noch unsicher.

(Source: Khusen Rustamov / Pixabay.com)
(Source: Khusen Rustamov / Pixabay.com)

Update vom 02.03.2021: Gleich neun US-Behörden finden sich in der langen Opferliste des Solarwinds-angriffs. An einer Senatsanhörung stellten sich nun Verantwortliche des Netzwerk-Spezialisten den Fragen der US-Gesetzgeber, wie "CNN" berichtet. Dabei kam auch das Passwort "Solarwinds123" zur Sprache, mit dem einer der Update-Server gesichert wurde, über den der Angriff erfolgte.

Laut Kevin Thompson, dem vormaligen Solarwinds-CEO, soll ein Praktikant hinter diesem gar zu einfachen Passwort stecken. Demnach habe er "gegen unsere internen Passwortrichtlinien verstossen und das Passwort auf einem privaten Github-Account veröffentlicht", zitiert CNN. Die Solarwinds-Sicherheitsabteilung habe das Passwort entfernt, sobald sie vom Vorfall Kenntnis hatten.

Ob jedoch ein Zusammenhang zwischen dem einfachen Passwort und dem Hackerangriff besteht, ist noch nicht abschliessend bewiesen. Tatsächlich sei es möglich, dass sich die Hacker mittels gestohlener Passwörter Zugang zu den Servern verschafften, zitiert CNN die Solarwinds-Verantwortlichen weiter. Es könne aber auch sein, dass sie das Passwort mittels Bruteforce-Attacken – also durch ständiges ausprobieren aller möglicher Kombinationen – erraten konnten. Eine dritte Möglichkeit sei, dass die Angreifer mittels kompromittierter Software in die Systeme eindringen konnten.

Update vom 16.02.2021: Wie Microsoft nach einer von 500 IT-Experten durchgeführten Untersuchung mitteilt, seien am Cyberangriff auf Instanzen der amerikanischen Regierung und diverse US-Unternehmen wohl über 1000 Software-Entwickler und -Entwicklerinnen beteiligt gewesen. Laut CBS hätten russiche Spione so monatelang uneingeschränkten Zugang zu sensiblen Daten gehabt und hätten diesen vermutlich noch immer, heisst es auf CBS News.

Wie Microsoft-President Brad Smith am Sonntag in der Sendung "60 Minutes" im Interview mit CBS News bekräftigt, sei der IT-Angriff auf US-Behörden und -Unternehmen, darunter Microsoft, der erste Cyberangriff in den USA, der erfolgreich über die Lieferkette erfolgte. Der Microsoft-President meint weiter, es sei der "grösste und fortgeschrittenste Software-Angriff, den die Welt je gesehen hat". Beunruhigend sei bei dieser Attacke vor allem die "breite und unterschiedslose Streuung", betont Smith weiter. Nachdem die Angreifer ein Update für Solarwinds Orion infiziert hatten, verbreitete sich die Infektion in mehr als 18'000 Organisationen. Schlimm sei laut Microsoft-President Brad Smith, dass Solarwinds Orion so grossflächig etabliert und unterlässlich sei. Das habe zur schnellen Ausbreitung des Angriffs beigetragen.

Erst hätte Microsoft nichts vom Angriff gemerkt. Der Angriff sei zuerst Fireeye, das teilweise der CIA gehört, aufgefallen. Ein Mitarbeiter fand zwei Geräte zur Zwei-Faktor-Authentifizierung vor, obwohl er nur eines nutzte. Es stellte sich nach einer Untersuchung heraus, dass Hacker das Fireeye-Arsenal geplündert hatten.

Es sei aber nicht der erste erfolgreiche Cyberangriff über die Lieferkette überhaupt, so Smith. Bereits beim russischen Notpetya-Angriff auf die Ukraine im Juni 2017 seien die damaligen Angreifer nach diesem Muster vorgegangen. Damals sie es geschafft, mit einem "Wiper" die Update-Server der ukrainischen Steuer-Software MeDoc zu übernehmen und ein bösartiges Update einzuspielen. Da die Plattform von den meisten Firmen in der Ukraine verwendet wurde, um Steuern zu zahlen, sorgte der Angriff für grosses Chaos.

Update von 5.1.2021: Microsoft gehört ebenfalls zu den Opfern des massiven, vermutlich von Russland unterstützten Cyberangriffs, von dem auch US-Behörden und der Cybersecurity-Anbieter Fireeye betroffen sind. Schon Mitte Dezember räumte der US-Tech-Konzern ein, kompromittierte Versionen des Solarwinds-Produkts in seinem Netzwerk entdeckt zu haben, mit dem die Angriffe durchgeführt wurden. Damals sagte das Unternehmen noch, man habe keine Hinweise auf einen unbefugten Zugriff auf Produktionsdienste oder Kundendaten gefunden.

Doch nun stellt sich heraus, dass Microsoft stärker getroffen wurde, als die ersten Untersuchungen vermuten liessen. Gemäss einem am 31. Dezember veröffentlichten Update auf der Seite des Security Response Center von Microsoft heisst es, es sei den Angreifern gelungen, ein internes Konto zu hacken, über das sie "den Programm-Quellcode in mehreren Source Code Repositories einsehen konnten".

Zu welchen Produkten dieser Quellcode konkret gehört, schreibt Microsoft nicht. Der Softwarehersteller betont aber, der Quellcode sei nicht verändert worden, da der gekaperte Zugang nicht über die dafür erforderlichen Zugriffsberechtigungen verfügte.

Im Blogbeitrag relativiert Microsoft das Risiko, das durch das Betrachten seines Quellcodes ausgeht: "Wir verlassen uns bei der Sicherheit von Produkten nicht auf die Geheimhaltung des Quellcodes, und unsere Bedrohungsmodelle gehen davon aus, dass Angreifer Kenntnis vom Quellcode haben. Die Einsicht in den Quellcode ist also nicht mit einer Erhöhung des Risikos verbunden."

Update vom 16.12.2020: Fireeye und US-Behörden wegen Solarwinds-Schwachstelle gehackt

Allmählich lüftet sich das Geheimnis um die Cyber-Attacke gegen die Firma Fireeye. Neben Fireeye hackte die von der russischen Regierung unterstützte Hackergruppe (Cozy Bear oder APT 29) im Rahmen derselben Angriffsaktion auch die US-Bundesbehörden. Dies berichteten mehrere Medien, darunter die Washington Post.

Die Cybersecurity-Firma Fireeye erklärt in einem neuen Blog-Post, dass der Angriff eine Lücke im Update-System des Netzwerküberwachungsprodukts Orion von Solarwinds ausnutzte. So konnten die Hacker das Netzwerk gezielt infiltrieren und ein Backdoor namens "SUNBURST" installieren. Es folgten Bewegungen und Diebstahl von Daten.

Die U.S. Cybersecurity and Infrastructure Security Agency hat eine Warnung herausgegeben. Diese besagt, dass die in Solarwinds' Orion entdeckte Schwachstelle inakzeptable Risiken birgt. Die Agency fordert die Bundesbehörden dazu auf, ihre Netzwerke zu untersuchen und das kompromittierte Produkt sofort davon zu trennen oder abzuschalten.

Laut Fireeye wurden Unternehmen, die Solarwinds' Orion einsetzen, bereits im Frühjahr 2020 infiziert. Die Firma sagt, dass solche Angriffe "akribische Planung und manuelle Interaktion erfordern". Solarwinds gibt auf seiner Website an, mehr als 300'000 Kundinnen und Kunden zu haben, darunter Regierungsbehörden, Armeen und Fortune-500-Unternehmen. Das Unternehmen listet unter anderem grosse Schweizer Unternehmen wie Credit Suisse, Nestlé und Swisscom.

Ursprüngliche Meldung vom 10.12.2020: Hacker erbeuten Hacking-Tools von Fireeye

Das Image von Fireeye wurde schwer beschädigt: Als eine der führenden Cybersicherheitsfirmen ist das Unternehmen selbst Opfer eines Cyberangriffs geworden. Die Angreifer erbeuteten in der grossangelegten Aktion Hacking-Tools des "Red Team", mit denen der Schutz seiner Kunden getestet wurde. In einem Blogbeitrag beschreibt Kevin Mandia, CEO der kalifornischen Firma, den Angriff als "höchst raffiniert". Das Unternehmen vermute, dass der Angriff von einer staatlich unterstützten Gruppe unter Verwendung neuer, Fireeye und seinen Partnern (einschliesslich des FBI und Microsoft) unbekannter Techniken verübt wurde. Laut Reuters sind die Hauptverdächtigen eine Gruppe russischer Hacker.

"Dieser Angriff unterscheidet sich von den Zehntausenden von Vorfällen, auf die wir im Laufe der Jahre reagiert haben. Die Angreifer haben ihre Weltklasse-Fähigkeiten speziell darauf zugeschnitten, Fireeye anzugreifen. Sie sind im Bereich der operativen Sicherheit hoch qualifiziert und handelten diszipliniert und fokussiert. Sie operierten verdeckt und benutzten Methoden, die in der Lage sind, Sicherheitsinstrumenten und forensischer Analyse entgegenzuwirken", erklärt der CEO.

300 Gegenmassnahmen

Die erbeuteten Werkzeuge nutzen "Zero-Day"-Schwachstellen nicht aus, so die Cybersicherheitsfirma. Um zu verhindern, dass diese Tools für böswillige Zwecke gegen Unternehmen ausgenutzt werden, veröffentlichte Fireeye "300 Gegenmassnahmen" für Cybersicherheitsfirmen und Experten, um die Verwendung gestohlener Tools aufzudecken oder zu blockieren.

Gemäss Fireeye suchten die Angreifer hauptsächlich Informationen über einige seiner staatlichen Kunden. Die Systeme wurden infiltriert, aber die Firma hat keine Hinweise auf einen möglichen Diebstahl von Kundendaten oder Metadaten gefunden, die von ihren Produkten gesammelt wurden. Nach eigenen Angaben hat Fireeye mehr als 9600 Kunden in 103 Ländern, darunter mehr als die Hälfte der in Forbes Global 2000 aufgeführten Unternehmen.

Grossangelegte Cyberangriffe wie dieser sind aussergewöhnlich. Generell werden KMU öfters zum Opfer solcher Attacken, da sie ein leichteres Ziel abgeben. So auch in der Schweiz.

Webcode
DPF8_201100