Der Cyber-Angriff auf US-Behörden und US-Software-Firmen, mutmaßlich durch russische Angreifer auf Microsoft & SolarWinds und entdeckt Ende des Jahres 2020, entspricht exemplarisch nur der Spitze eines Eisberges und die tatsächlichen Dimensionen lassen sich weiterhin nur erahnen.
Seit unserem letzten Update Ende Dezember 2020, gibt es folgende neue Themen:
- Wie um den 23.12.2020 bekannt wurde, war das US-Unternehmen „CrowdStrike” ebenfalls am Radar der Cyber-Spionage, gehörte jedoch nicht zu den Betroffenen, da CrowdStrike ausschließlich die Produktivitsänwendungen (Word, Excel, PowertPoint, usw.) von Microsoft, aber ohne Exchange-Server oder Outlook benutzt. Dies ist CrowdStrike bei seinem Microsoft-Solutions-Partner aufgefallen, der Microsoft-Lizenzen weiterverkauft und für Kunden wie CrowdStrike verwaltet.
- Palo Alto Networks (PAN) hat den Angriffszeitpunkt rekonstruiert. Damit steht fest, dass seit Oktober 2019 kompromittierte Versionen der SolarWinds Orion Netzwerk-Management Software im Umlauf sind. Die Angreifer installierten die Schadsoftware „SUNSPOT“ bei SolarWinds, um automatisiert jede neue Version von Orion mit einer Hintertüre zu versehen. Sicherheitsforscher bei PAN gehen jedoch weiterhin von einem primären Cyber-Angriff auf Behörden und Unternehmen um den 13.12.2020 aus.
- Eine neue Webseite möchte um USD 1 Mio. die gestohlenen Daten (z.B. Quellcode von Microsoft) mehrer betroffenen Unternehmen verkaufen. Der Vorfall erinnert sehr an “The Shadow Brokers” und dem Datenleck bei dem Nachrichtendienst der Vereinigten Staaten (2016). Experten zweifeln noch an der Validität des Angebotes.
- Gemäß aktuellen Recherchen von Journalisten der „New York Times“ (NYT), soll angeblich das Software-Werkzeug „TeamCity“ der tschechischen Firma „JetBrains“ der Patient Null bei SolarWinds gewesen sein. JetBrains dementiert dies naturgemäß. Gemäß Recherchen von „VX-Underground“, wurde eine kritische Sicherheitslücke in JetBrains IntelliJ IDEA entdeckt und bereits bei der Schadsoftware „Cheshire Virus“ eingesetzt. Wir wollen fairerweise das Statement von JetBrains wiedergeben, da die NYT-Berichterstattung mehr oder weniger nur auf den russischen CEO von JetBrains fokussiert:
First and foremost, JetBrains has not taken part or been involved in this attack in any way. SolarWinds is one of our customers and uses TeamCity, which is a Continuous Integration and Deployment System, used as part of building software. SolarWinds has not contacted us with any details regarding the breach and the only information we have is what has been made publicly available. It’s important to stress that TeamCity is a complex product that requires proper configuration. If TeamCity has somehow been used in this process, it could very well be due to misconfiguration, and not a specific vulnerability.
unknownx500
