Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle

[English]Die Solarigate-Geschichte geht weiter. Jetzt haben vier Anbieter von Sicherheitsprodukten "Vorfälle" im Zusammenhang mit den Lieferketten-Angriffen (supply chain attack) über SolarWinds Orion-Produkte bekannt gegeben.


Anzeige

Vor einigen Tagen hatte ich im Blog-Beitrag Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt erwähnt, dass der Sicherheitsanbieter Malwarebytes Opfer der Solarigate-Angriffe wurde. Der erste erfolgreich gehackte Sicherheitsanbieter war allerdings FireEye, siehe FireEye: Wenn Hacker eine Sicherheitsfirma plündern. Die Liste der Unternehmen, die Opfer der Lieferketten-Angriffe (supply chain attack) über die Backdoor in SolarWinds Orion-Produkte geworden sind, muss leider um vier Namen von Sicherheitsanbietern erweitert werden. Ich bin die Nacht auf Twitter über die nachfolgende Information von Catalin Cimpanu gestolpert, der das Ganze in einem Artikel auf ZDNet.com zusammen getragen hat.

Solarigate: Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle

Die Cybersicherheitsanbieter Mimecast, Palo Alto Networks, Qualys und Fidelis haben bekannt gegeben, dass sie Opfer der Solarigate-Angriffe der SolarWinds-Hackergruppe sind.

Mimecast gehackt

Die Mimecast Limited ist ein auf der Kanal-Insel Jersey (Steuerparadies) ansässiges Unternehmen mit Hauptsitz in Großbritannien, das sich auf cloudbasiertes E-Mail-Management für Microsoft Exchange und Microsoft Office 365 spezialisiert hat. Das umfasst auch Sicherheits-, Archivierungs- und Kontinuitätsdiensten zum Schutz von Business-Mails. Am 12. Januar 2021 gestand Mimecast in einer Warnung an seine Kunden, dass Hacker eines seiner digitalen Zertifikate abgegriffen und missbraucht habe, um Zugang zu einigen Microsoft 365-Konten seiner Kunden zu erhalten.

Zu den Produkten, die dieses Zertifikat verwendeten, gehören Mimecast Sync and Recover, Continuity Monitor und IEP-Produkte, wie das Unternehmen in einer veröffentlichten Nachricht mitteilte (ich hatte das mitbekommen, aber aus Zeitmangel nicht im Blog aufgegriffen). Mimecast gab an, dass etwa 10 % aller Kunden die betroffenen Produkte mit diesem speziellen Zertifikat verwendet haben. Der Bedrohungsakteur habe das gestohlene Zertifikat missbraucht, um Zugriff auf nur eine Handvoll der Microsoft 365-Konten dieser Kunden zu erhalten. Jetzt bestätigte Mimecast in diesem aktualisierten Beitrag den Angriff im Rahmen der SolarWinds-Angriffe.

Palo Alto Networks Sicherheitsvorfall

Palo Alto Networks, Inc. ist ein amerikanisches multinationales IT-Sicherheitsunternehmen mit Hauptsitz in Santa Clara, Kalifornien. Seine Kernprodukte sind eine Plattform, die fortschrittliche Firewalls und Cloud-basierte Angebote umfasst, die diese Firewalls um weitere Sicherheitsaspekte erweitern. Palo Alto Networks informierte wohl den investigativen Forbes-Reporter Thomas Brewster, dass man im September und Oktober 2020 zwei Sicherheitsvorfälle entdeckt habe.

Damals kam man nicht auf den Gedanken, dass es eine Supply-Chain-Attacke, der auch FireEye zum Opfer fiel, sein könnte. Erst nachdem die Informationen über die SolarWinds-Angriffe öffentlich wurden, konnte die Verbindung zwischen den beiden Vorfällen mit dem Angriff über die SolarWinds-Software hergestellt werden. Palo Alto Networks gibt an, dass die Untersuchung der Vorfälle nicht viel ergeben habe. Man ist zum Schluss gekommen, dass der versuchte Angriff nicht erfolgreich war und keine Daten kompromittiert wurden."

Auch QUALYS möglicherweise betroffen

Qualys, Inc. bietet Cloud-Sicherheit, Compliance und damit verbundene Dienste an und hat seinen Sitz in Foster City, Kalifornien. Laut dem oben zitierten Forbes-Artikel hat Erik Hjelmvik, der Gründer des Netzwerksicherheitsunternehmens Netresec, eine Liste von 23 neue Domains aufgeführt, die von den SolarWinds-Hackern verwendet wurden, um Nutzdaten der zweiten Stufe in infizierte Netzwerke einzuschleusen, die sie als besonders wertvoll einstuften.


Anzeige

Zwei dieser 23 neuen Domains waren "corp.qualys.com", was darauf hindeutet, dass der Cybersecurity-Auditing-Riese Qualys das Ziel der Angreifer gewesen sein könnte. Gegenüber Forbes erklärte Qualys jedoch, dass seine Techniker eine trojanisierte Version der SolarWinds Orion-App in einer Laborumgebung zu Testzwecken installiert hatten, die vom primären Netzwerk getrennt war. Bei einer anschließenden Untersuchung seien keine Beweise für weitere bösartige Aktivitäten oder Datenexfiltration gefunden worden.

Einige Sicherheitsforscher schenken der Aussage des Unternehmens jedoch keinen Glauben. Sie vermuten, dass die Domain "corp.qualys.com" darauf hindeutet, dass die Hacker Zugang zum primären Netzwerk des Unternehmens erhalten haben und nicht zu einer Laborumgebung, wie das Unternehmen behauptet. Der Fall bleibt mysteriös.

Fidelis bestätigt Angriff

Fidelis ist ebenfalls ein Cybersecurity-Unternehmen, welches die Sicherheit in Unternehmen verbessern möchte. In einem Blog-Beitrag gibt ein Fidelis-Manager bekannt, dass man im Mai 2020 eine trojanisierte Version der SolarWinds Orion-App als Teil einer "Software-Evaluierung" installiert habe. "Die Software-Installation wurde auf einer Maschine durchgeführt, die als Testsystem konfiguriert, von unserem Kernnetzwerk isoliert und nur selten eingeschaltet war", sagte Chris Kubic, der Fidelis-Manager. Fidelis gibt an, dass trotz der Bemühungen des Angreifers, einen Zugang innerhalb des internen Netzwerks von Fidelis zu eskalieren, das Unternehmen glaubt, dass das Testsystem "ausreichend isoliert und zu selten eingeschaltet war, als dass der Angreifer es zur nächsten Stufe des Angriffs hätte bringen können."

Zum Hintergrund

Seit Dezember 2020 erschüttert eine groß angelegte Hacker-Kampagne die IT-Welt, speziell der USA aber auch anderer Länder. Mutmaßlich staatlichen Hackern war es gelungen, eine Backdoor in die SolarWinds Orion-Software einzuschleusen. Diese SolarBurst-Backdoor wurden dann mit einem regulären SolarWinds Orion-Software-Update an 18.000 Kunden ausgeliefert. Die Orion-Software wird von vielen Behörden und Unternehmen eingesetzt.

Inzwischen ist bekannt, dass die Akteure über diese Backdoor, aber auch über weitere Malware über 100 US-Behörden und Firmen gehackt haben, um dort Informationen abzugreifen. Die Hacker konnten sich über Monate unentdeckt in den Netzwerken der Opfer bewegen. Der Fall wurde bekannt, weil die Hacker die sogenannten Red-Team-Tools des Sicherheitsanbieters FireEye bei einem Hack entwendeten und dieser Angriff einem Angestellten des Unternehmens auffiel. Nachfolgende Artikel enthalten weitere Informationen.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle

  1. Wil Ballerstedt sagt:

    Ob Kunden (Wirtschaft und Staaten) vielleicht lernen, wie bitter die eigene Medizin sein kann? 🤣

    • 1ST1 sagt:

      Sollen Kunden alle ihre benötigte Software selber schreiben, oder was meinst du damit? Grundsätzlich gillt: Jedes Computernetz ist angreifbar, auch das aller Software-Hersteller, was leider auch die Netze von Sicherheits-Spezialisten mit einschließt. Das ist ein Risiko, dessen sich jeder bewusst sein muss, man muss sich wirklich Gedanken machen, was man alles absichern kann. Unmöglich ist ein Einbruch wahrscheinlich nie, solange es irgendeine Verbindung zwischen internem Netz und Internet gibt, aber man muss es den Eindringlingen so schwer machen, wie nur irgendwie möglich. Und so eine Supply-Chain-Attacke wie bei Solarwinds, da haben nicht mal Fachleute ernsthaft damit gerechnet. Das ist die Lehre, die man daraus ziehen muss. Jeder Beteiber eines Firmennetzes muss sich Gedanken über einen Software-Freigabe-Prozess machen, bei dem Software in einer isolierten Umgebung getestet, beobachtet und analysiert wird, bevor sie eingesetzt wird. Und wie die Solarwinds-Attacke zeigt, müsste das streng genommen sogar bei jedem Update erneut geschehen. Bei den oben genannten Anbietern scheinen drei dabei zu sein, welche die Solarwinds-Software noch in einer solchen Testumgebung hatten. Jede Firma, die ihren Benutzern oder Admins (!!!) erlaubt, ohne so einen Freigabeprozess beliebige Software zu installieren, steht eigentlich mit einem Bein in einer tiefen Pfütze.

      • Sebastian sagt:

        Ich denke eher, er meint damit die gelebte Praktik von Staaten (Geheimdiensten) und "Sicherheits"-Firmen, aufgespürte Sicherheitslücken nicht an den Hersteller zu melden, sondern diese für eigene Angriffe zu nutzen.

        Dadurch wird das IT-Sicherheitsniveau nämlich für *alle* gesenkt.

  2. No sagt:

    Es ist Kern jeder Branche den eigenen Marktanteil zu erhöhen. Da werden dann Lösungen gesucht und verkauft, die viele Folge-Aufträge bringen. Die Risiken gehen zu Lasten der Kunden.

  3. Bernd sagt:

    Gibt es etwas neues zu dieser Nachricht(08/2020): Black Hat: Hackers are using skeleton keys to target chip vendors
    https://www.zdnet.com/article/black-hat-hackers-are-now-using-cobalt-strike-and-skeleton-keys-to-target-semiconductor-firms/

    Vorher gab es schonmal Probleme bei TSMC mit Wannacry. https://www.heise.de/newsticker/meldung/Virus-bei-Apple-Chipfertiger-TSMC-war-WannaCry-4130609.html

    Könnten bei so einen Einbruch auch die CPU und deren interne Firmware manipuliert werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.