Seit März sollen russische Hacker in Behörden und Großkonzerne eingedrungen sein durch das Einbinden manipulierter Updates in eine weit verbreitete IT-Management-Plattform. So konnten sie die US-Handels-, Finanz- und Heimatschutzabteilungen sowie die Sicherheitsfirma FireEye infiltrieren. In Wahrheit weiß niemand, wo der Schaden endet; Angesichts der Art des Angriffs sind buchstäblich Tausende von Unternehmen und Organisationen seit Monaten gefährdet. Ab hier wird es nur noch schlimmer.
Die Angriffe, die Reuters am Sonntag erstmals gemeldet hatte, wurden offenbar von Hackern des SVR, des russischen Auslandsgeheimdienstes, durchgeführt. Diese Akteure werden oft als APT 29 oder „Cozy Bear“ klassifiziert, aber die Einsatzkräfte versuchen immer noch, den genauen Ursprung der Angriffe innerhalb des russischen militärischen Hacking-Apparats herauszufinden.
Die Einbrüche gehen alle auf SolarWinds zurück, ein Unternehmen für IT-Infrastruktur und Netzwerkmanagement, dessen Produkte in der gesamten US-Regierung, von vielen Verteidigungsunternehmen und von den meisten Fortune 500-Unternehmen eingesetzt werden. Zuerst haben die Hacker den Orion-Aktualisierungsmechanismus von SolarWinds kompromittiert, damit seine Systeme fehlerhafte Software an Tausende von Organisationen verteilen können. Die Angreifer konnten dann manipulierte Orion-Software als Hintertür in die Netzwerke der Opfer verwenden. Von dort aus konnten sie innerhalb der Zielsysteme auffächern, häufig indem sie administrative Zugriffstoken stahlen.
Schließlich konnten die Hacker mit den Schlüsseln Aufklärungs- und Datenfilter durchführen. Die russische Botschaft bestritt ihrerseits die Beteiligung des Landes am Sonntag und nannte die vorläufige Zuschreibung „unbegründete Versuche der US-Medien, Russland für Hackerangriffe auf US-Regierungsstellen verantwortlich zu machen“.
Dominion Voting Systems schien ein Kunde von SolarWinds zu sein und deshalb vermuteten Unterstützer von Donald Trump wieder einmal Wahlbetrug. In einer Erklärung gegenüber dem Daily Dot sagte Dominion jedoch, dass es zu keinem Zeitpunkt jemals das Orion-Tool von SolarWinds verwendet habe, mit dem die Hacker gezielte Systeme verletzen konnten.
Bereits vor Jahren versuchte ein berüchtigter Hacker laut einem neuen Bericht, den Zugang zu den Computern des Unternehmens in Underground-Foren zu verkaufen.
Der als „fxmsp“ bekannte Hacker war einer von mehreren Personen, die 2017 versuchten, den Zugang zu SolarWinds-Maschinen in Online-Foren zu verkaufen. Dies geht aus einem Bericht von Reuters vom Dienstag hervor, in dem zwei Forscher zitiert wurden, die unabhängigen Zugang zu den Foren hatten.
Der Bericht stellt fest, dass der Versuch von fxmsp, den Zugang zu verkaufen, nicht als „wahrscheinlichste“ Ursache für den jüngsten Verstoß angesehen wird, bei dem viele der großen Regierungsbehörden, die die Software des Unternehmens verwenden, einschließlich des Finanzministeriums, des Ministeriums für innere Sicherheit und des Nationalen, gefährdet wurden Institute für Gesundheit.
Vinoth Kumar, ein Sicherheitsforscher, teilte der Verkaufsstelle mit, er habe SolarWinds gewarnt, dass „jeder Angreifer“ im vergangenen Jahr problemlos auf den Update-Server zugreifen könne, da das Kennwort auf „solarwinds123“ gesetzt worden sei.
