Solarwinde und geplatzte Sonnen SolarWinds nach dem Sunburst-Angriff

Autor / Redakteur: Dr. Stefan Riedl / Dipl.-Ing. (FH) Andreas Donner

„Sunburst“ kann mit „Sonnenplatzen“ übersetzt werden. Als der gleichnamige Hackerangriff im Solarwinds-Universum einschlug, zog das massive Konsequenzen nach sich. Das Unternehmen will nun vor ähnlichem Ungemach gewappnet sein.

Firmen zum Thema

Der „Sunburst“-Angriff hat SolarWinds ziemlich zugesetzt.
Der „Sunburst“-Angriff hat SolarWinds ziemlich zugesetzt.
(Bild: Inga Nielsen – stock.adobe.com)

An den 12. Dezember 2020 kann sich Brandon Shopp, Vice President Products bei SolarWinds, noch gut zurückerinnern. An diesem Tag wurde sein Arbeitgeber vom Netzwerksicherheits-Unternehmen FireEye kontaktiert, bezüglich eines bösartigen Codes, der in der SolarWinds Orion Plattform entdeckt wurde. Die Plattform dient dazu, IT-Umgebungen zentral zu überwachen, zu analysieren und zu verwalten.

Brandon Shopp, Vice President Products bei SolarWinds
Brandon Shopp, Vice President Products bei SolarWinds
(Bild: SolarWinds)

„Unsere Untersuchungen haben gezeigt, dass die Hacker in der Lage waren, auf unsere Softwareentwicklungsumgebung zuzugreifen, indem sie ausgefeilte Techniken verwendeten, um unentdeckt zu bleiben.“ Die Hacker hatten im Vorfeld die Sunburst-Malware gezielt während des Entwicklungsprozesses der Plattform eingefügt.

Ausländische Regierung verwickelt?

Die Hintergründe sind bis heute nicht ganz geklärt, aber wie Shopp ausführt, hätten Cybersicherheits-Experten die Annahme geäußert, dass eine ausländische Regierung dahintersteckt. Zusammen mit forensischen Ermittlern verfolgt Solarwinds mehrere Theorien, wie die Angreifer auf die Umgebung zugreifen konnten. „Derzeit gehen wir davon aus, dass der wahrscheinlichste Angriffsvektor die Kompromittierung von Anmeldeinformationen und der Zugriff über eine Drittanbieter-Anwendung war, über eine zum damaligen Zeitpunkt nicht bekannte Sicherheitslücke.“

Untersuchungen dauern an

Die Untersuchungen sind noch nicht abgeschlossen. Angesichts der Komplexität der Angriffe und der Maßnahmen, die von den Tätern ergriffen wurden, um die SolarWinds-Umgebung zu manipulieren und Beweise für ihre Aktivitäten zu beseitigen, in Kombination mit den großen Mengen an Log- und anderen Daten, die zu analysieren sind, werden die Untersuchungen noch mindestens mehrere Wochen, vielleicht sogar Monate, andauern, heißt es aus dem Unternehmen. Möglicherweise werden sie nicht zu einer eindeutigen Antwort führen, räumt Shopp ein. „Wir haben noch nicht das genaue Datum ermittelt, an dem die Bedrohungsakteure zum ersten Mal unbefugten Zugriff auf unsere Umgebungen erhielten.“

Sicherheitsmaßnahmen

Innerhalb von 48 Stunden nach Bekanntwerden des Angriffs konnten Updates für die betroffene Software bereitgestellt werden. Inzwischen wurden externe Cyber­security-Experten hinzugezogen, um die ­interne Umgebung nachhaltig zu sichern. Zusätzliche Software für Bedrohungsschutz-und -erkennung wurde eingeführt.

„Außerdem wird geprüft, ob kompilierte Versionen mit dem Quellcode übereinstimmen, und es wurden alle SolarWinds-Produkte mit neuen digitalen Zertifikaten signiert, betont Shopp.

„Wir glauben, dass Zusammenarbeit mit Cybersecurity-Experten, mit der Regierung und mit der Öffentlichkeit nicht nur für die Reaktion auf den Sunburst-Angriff entscheidend ist, sondern auch, um unsere ­Industrie und die nationale Infrastruktur zukünftig vor ähnlichen Angriffen zu schützen“, so der Produktverantwortliche. „Wir teilen unsere Erkenntnisse nicht nur mit der Branche, sondern auch mit Strafverfolgungsbehörden, Geheimdiensten und politischen Entscheidungsträgern auf der ganzen Welt.“

Unternehmerische Verantwortung

Das SolarWinds-Team arbeitet außerdem mit KPMG und CrowdStrike zusammen, um diesen neuartigen Angriff besser zu verstehen. „Wir haben für den verantwortlichen Code ein Reverse Engineering durchgeführt und konnten so mehr über das in der Build-Umgebung eingesetzte Tool herausfinden. Wir hoffen, indem wir die technischen Details für den Rest der Branche offen darlegen, dass andere Unternehmen ähnliche Angriffe damit identifizieren und verhindern können“, versichert Shopp.

(ID:47161157)

Über den Autor

Dr. Stefan Riedl

Dr. Stefan Riedl

Leitender Redakteur