Microsoft ebenfalls von Solarwinds-Hack betroffen

0
941
Sunburst ("Sonnendurchbruch") heißt die Schadsoftware, die über Updates bei rund 18.000 Organisationen weltweit gelandet ist. (Foto: mario-k, www.pixabay.com)

Von der Schadsoftware Sunburst, die unbemerkt über Updates eines Solarwinds-Produkts verteilt wurde, ist neben Fireeye und vielen US-Behörden auch Microsoft betroffen. Insgesamt sollen rund 18.000 Organisationen kompromittiert worden sein. Bei welchen davon die Schadsoftware auch aktiv ausgenutzt wurde, ist nicht klar.

Angreifer hatten die Schadsoftware Sunburst in Pakete einbringen können, die zwischen März und Juni über Solarwinds-Server als reguläre Updates verteilt wurden. Betroffen ist die IT-Verwaltungssoftware Orion. Damit hatten die Angreifer einen Fuß in den Netzwerken der Solarwinds-Kunden und konnten sich bei vielen von ihnen Zugriff verschaffen. Zuerst wurde die Hacking-Aktion beim IT-Sicherheitsanbieter Fireeye entdeckt. Wenig später räumten zahlreiche US-Behörden Angriffe ein.

Microsoft stellte den Befall nach eigenen Angaben fest, als es zielgerichtet nach Indikatoren für diesen Angriff gesucht hatte. Für Zugriffe auf Microsoft-Dienste oder Kundendaten gäbe es bisher keine Anhaltspunkte. Die Untersuchungen dauerten an.

Einmal über das Update in Kundensystemen installiert, blieb Sunburst für zwei Wochen inaktiv. Anschließend nahm sie Kontakt mit einem Command-and-Control-Server auf, über den weitere Schadsoftware nachgeladen wird, die den Angreifern die Ausbreitung im Netzwerk erlaubt. Bei wie vielen der 18.000 kompromittierten Organisationen die Hacker das Einfallstor tatsächlich ausnutzen konnten, ist nicht bekannt.

Ernste Gefahr für US-Regierung

Die US-Cyber-Sicherheitsbehörde CISA spricht bei den Angriffen von einer ernsten Gefahr für die Regierung, Kritische Infrastrukturen und Unternehmen. Sie teilte in einer offiziellen Warnung außerdem mit, dass die Bereinigung betroffener Systeme sich als hochkomplex gestalte. Die Täter hätten große Geduld und Expertise bewiesen. Medienberichte hatten die Angriffskampagne unter Berufung auf Ermittlerkreise mit der Hacker-Gruppe APT29 in Verbindung gebracht, die dem russischen Geheimdienst nahesteht.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here