https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Solar_Winds_Hack 2026-06-29T05:32:59Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Solar_Winds_Hack&diff=59482&oldid=prev 2025-03-09T06:18:12Z

<p></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 9. März 2025, 06:18 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Zeile 1:</td> <td colspan="2" class="diff-lineno">Zeile 1:</td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=<del class="diffchange diffchange-inline">= Einleitung =</del>=</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>=<ins class="diffchange diffchange-inline">Grundsätzliches</ins>=</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Der SolarWinds-Hack, <del class="diffchange diffchange-inline">auch bekannt unter dem Codenamen &quot;Sunburst&quot;, ist einer der bedeutendsten und komplexesten Cyberangriffe in der Geschichte der Informationstechnologie. Er wurde Ende 2020 entdeckt und </del>betraf die <del class="diffchange diffchange-inline">Orion</del>-<del class="diffchange diffchange-inline">Softwareplattform </del>von SolarWinds, <del class="diffchange diffchange-inline">ein weitverbreitetes Netzwerkmanagement</del>-<del class="diffchange diffchange-inline">Tool. Dieser Angriff illustriert </del>die <del class="diffchange diffchange-inline">Bedrohung durch </del>staatlich unterstützte <del class="diffchange diffchange-inline">Hacker </del>und <del class="diffchange diffchange-inline">die Anfälligkeit von Supply Chains in der Softwareentwicklung.</del></div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* </ins>Der SolarWinds-Hack <ins class="diffchange diffchange-inline">war eine hochentwickelte '''Advanced Persistent Threat (APT)'''-Kampagne</ins>, <ins class="diffchange diffchange-inline">die weltweit Tausende Organisationen </ins>betraf</div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Angreifer kompromittierten </ins>die <ins class="diffchange diffchange-inline">Software</ins>-<ins class="diffchange diffchange-inline">Lieferkette </ins>von SolarWinds, <ins class="diffchange diffchange-inline">einem Anbieter für IT-Management-Software</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Attacke wurde durch eine infizierte Version der Orion</ins>-<ins class="diffchange diffchange-inline">Software verbreitet, </ins>die <ins class="diffchange diffchange-inline">von Unternehmen und Regierungsbehörden genutzt wurde</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Hintermänner gelten als </ins>staatlich unterstützte <ins class="diffchange diffchange-inline">Hackergruppe, mutmaßlich aus Russland (APT29/Cozy Bear)</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Der Angriff ermöglichte den Zugang zu Netzwerken zahlreicher US-Behörden, Unternehmen </ins>und <ins class="diffchange diffchange-inline">kritischer Infrastrukturen</ins></div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=<del class="diffchange diffchange-inline">= Angriffsvektor =</del>=</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>=<ins class="diffchange diffchange-inline">Technische Details</ins>=</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Die <del class="diffchange diffchange-inline">Hauptstrategie </del>der <del class="diffchange diffchange-inline">Angreifer bestand darin</del>, eine <del class="diffchange diffchange-inline">Supply</del>-<del class="diffchange diffchange-inline">Chain</del>-<del class="diffchange diffchange-inline">Attacke durchzuführen. Sie injizierten schädlichen Code in die Software</del>-<del class="diffchange diffchange-inline">Entwicklungs</del>- und <del class="diffchange diffchange-inline">Distributionsprozesse von SolarWinds. Dieser Code wurde Teil eines offiziellen Software</del>-<del class="diffchange diffchange-inline">Updates für das Orion</del>-<del class="diffchange diffchange-inline">Produkt</del>, <del class="diffchange diffchange-inline">das zwischen März </del>und <del class="diffchange diffchange-inline">Juni 2020 veröffentlicht wurde.</del></div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* </ins>Die <ins class="diffchange diffchange-inline">Malware wurde als '''SUNBURST''' bezeichnet und in legitime Updates </ins>der <ins class="diffchange diffchange-inline">SolarWinds Orion-Software eingebaut</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Nach der Installation verhielt sich die Malware zunächst unauffällig</ins>, <ins class="diffchange diffchange-inline">um nicht entdeckt zu werden</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Sie kontaktierte </ins>eine <ins class="diffchange diffchange-inline">'''Command</ins>-<ins class="diffchange diffchange-inline">and</ins>-<ins class="diffchange diffchange-inline">Control (C2)'''</ins>-<ins class="diffchange diffchange-inline">Infrastruktur und ließ Angreifer schrittweise Zugriff auf infizierte Systeme gewinnen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Angreifer nutzten '''Golden SAML'''</ins>-<ins class="diffchange diffchange-inline">Angriffe, um sich als vertrauenswürdige Benutzer auszugeben </ins>und <ins class="diffchange diffchange-inline">Sicherheitsmechanismen zu umgehen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Es wurden zahlreiche '''Credential</ins>-<ins class="diffchange diffchange-inline">Dumping'''</ins>-<ins class="diffchange diffchange-inline">Techniken angewandt</ins>, <ins class="diffchange diffchange-inline">um administrative Berechtigungen zu erlangen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Infektion breitete sich über seitliche Bewegungen in Netzwerken aus und ermöglichte langfristige Überwachung </ins>und <ins class="diffchange diffchange-inline">Datendiebstahl</ins></div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== <del class="diffchange diffchange-inline">Technische Details des Angriffs ==</del></div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>= <ins class="diffchange diffchange-inline">Timeline </ins>=</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">=== Einschleusung des Schadcodes ===</del></div></td><td colspan="2"> </td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">Die Angreifer nutzten einen kompromittierten Zugang zum Software-Build-Prozess von SolarWinds. Sie fügten den Schadcode in die Bibliotheken der Orion-Plattform ein, was als Trojanisierung des Build-Prozesses bekannt ist. Der Code wurde so konzipiert, dass er nach einer Ruhephase von zwei Wochen aktiv wurde, um eine frühzeitige Entdeckung zu vermeiden.</del></div></td><td colspan="2"> </td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>==<del class="diffchange diffchange-inline">= Verbreitung und Maskierung =</del>==</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>== <ins class="diffchange diffchange-inline">2019 </ins>==</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">Nach der Aktivierung des Schadcodes etablierte dieser eine Verbindung zu einem Command</del>-<del class="diffchange diffchange-inline">and-Control-Server (C2), von dem aus die Angreifer Anweisungen senden konnten. Um nicht entdeckt zu werden, tarnten die </del>Angreifer <del class="diffchange diffchange-inline">den Netzwerkverkehr als </del>Orion-<del class="diffchange diffchange-inline">Verbesserungsprogrammdaten und nutzten weitere Techniken zur Verschleierung ihrer Aktivitäten.</del></div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die erste Infiltration von SolarWinds</ins>-<ins class="diffchange diffchange-inline">Infrastruktur erfolgt</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* </ins>Angreifer <ins class="diffchange diffchange-inline">platzieren Backdoors in </ins>Orion-<ins class="diffchange diffchange-inline">Software-Updates</ins></div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>==<del class="diffchange diffchange-inline">= Datendiebstahl und Spionage =</del>==</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>== <ins class="diffchange diffchange-inline">2020 </ins>==</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">Einmal im Netzwerk</del>, <del class="diffchange diffchange-inline">bewegten sich </del>die Angreifer <del class="diffchange diffchange-inline">lateral</del>, <del class="diffchange diffchange-inline">um weitere sensible </del>Systeme <del class="diffchange diffchange-inline">zu infiltrieren. Sie sammelten Informationen, darunter E</del>-<del class="diffchange diffchange-inline">Mails und Dokumente, und gewannen tiefe Einblicke </del>in <del class="diffchange diffchange-inline">die internen Prozesse und Sicherheitsmaßnahmen der betroffenen Organisationen.</del></div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die infizierte Orion-Software wird über offizielle Updates an Kunden ausgeliefert</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Mehr als 18.000 Organisationen installieren unbewusst die kompromittierte Version</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Malware aktiviert sich und beginnt</ins>, <ins class="diffchange diffchange-inline">Netzwerkzugriffe an </ins>die Angreifer <ins class="diffchange diffchange-inline">zu übermitteln</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Der Angriff wird im Dezember 2020 von [[FireEye]] entdeckt</ins>, <ins class="diffchange diffchange-inline">nachdem eigene </ins>Systeme <ins class="diffchange diffchange-inline">kompromittiert wurden</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* US</ins>-<ins class="diffchange diffchange-inline">Regierungsbehörden bestätigen den großflächigen Einbruch </ins>in <ins class="diffchange diffchange-inline">sicherheitskritische Netzwerke</ins></div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== <del class="diffchange diffchange-inline">Aufdeckung und Reaktion </del>==</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>== <ins class="diffchange diffchange-inline">2021 </ins>==</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">FireEye</del>, <del class="diffchange diffchange-inline">ein Sicherheitsunternehmen</del>, <del class="diffchange diffchange-inline">das selbst </del>betroffen <del class="diffchange diffchange-inline">war, entdeckte den Angriff </del>und <del class="diffchange diffchange-inline">machte ihn öffentlich. Dies führte zu einer intensiven Überprüfung </del>und Analyse <del class="diffchange diffchange-inline">der Sicherheitsmaßnahmen in zahlreichen Organisationen weltweit. Als Reaktion auf </del>den Angriff wurden <del class="diffchange diffchange-inline">umfangreiche Maßnahmen zur Stärkung </del>der <del class="diffchange diffchange-inline">Cybersicherheit </del>und zur Überwachung <del class="diffchange diffchange-inline">der Software</del>-<del class="diffchange diffchange-inline">Entwicklungsketten eingeleitet</del>.</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Nachforschungen zeigen</ins>, <ins class="diffchange diffchange-inline">dass zahlreiche US-Behörden</ins>, <ins class="diffchange diffchange-inline">Technologieunternehmen und kritische Infrastrukturen </ins>betroffen <ins class="diffchange diffchange-inline">sind</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* SolarWinds und Sicherheitsforscher arbeiten an Patches </ins>und <ins class="diffchange diffchange-inline">Schadensbegrenzung</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* US-Regierung verhängt Sanktionen gegen Russland als mutmaßlichen Angreifer</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div> </div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">= Entdeckung </ins>und Analyse <ins class="diffchange diffchange-inline">=</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* [[FireEye]] entdeckt </ins>den Angriff<ins class="diffchange diffchange-inline">, als eigene Red-Team-Tools kompromittiert </ins>wurden</div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Eine forensische Untersuchung deckt die Manipulationen in </ins>der <ins class="diffchange diffchange-inline">SolarWinds Orion-Software auf</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die Analyse zeigt, dass die Malware über lange Zeiträume unbemerkt aktiv war</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Die kompromittierten Systeme ermöglichten tiefgehende Spionage </ins>und <ins class="diffchange diffchange-inline">Datenexfiltration</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div> </div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">= Schutzmaßnahmen =</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Unternehmen und Behörden sollten verstärkte Sicherheitsprüfungen in der Software-Lieferkette durchführen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Zero-Trust-Modelle und segmentierte Netzwerke reduzieren das Risiko von lateralen Bewegungen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Implementierung von '''Multi-Factor Authentication (MFA)''' </ins>zur <ins class="diffchange diffchange-inline">Absicherung gegen gestohlene Anmeldedaten</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* </ins>Überwachung <ins class="diffchange diffchange-inline">von ungewöhnlichen Netzwerkaktivitäten und verdächtigen DNS-Anfragen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* Regelmäßige Updates und Patches für Systeme sowie verstärkte Protokollierung von Zugriffsversuchen</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div> </div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">= Links =</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* https://www.fireeye.com/blog/threat-research/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* https://www.cisa.gov/news-events/alerts/aa20-352a</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* https://www.microsoft.com/security/blog/2021/01/05/decoding-sunburst-understanding-techniques-used-by</ins>-<ins class="diffchange diffchange-inline">unc2452/</ins></div></td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">* https://www.solarwinds</ins>.<ins class="diffchange diffchange-inline">com/securityadvisory</ins></div></td></tr> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=Solar_Winds_Hack&diff=52910&oldid=prev 2024-04-12T16:00:23Z

<p>Die Seite wurde neu angelegt: „== Einleitung == Der SolarWinds-Hack, auch bekannt unter dem Codenamen &quot;Sunburst&quot;, ist einer der bedeutendsten und komplexesten Cyberangriffe in der Geschichte…“</p> <p><b>Neue Seite</b></p><div>== Einleitung ==<br /> Der SolarWinds-Hack, auch bekannt unter dem Codenamen &quot;Sunburst&quot;, ist einer der bedeutendsten und komplexesten Cyberangriffe in der Geschichte der Informationstechnologie. Er wurde Ende 2020 entdeckt und betraf die Orion-Softwareplattform von SolarWinds, ein weitverbreitetes Netzwerkmanagement-Tool. Dieser Angriff illustriert die Bedrohung durch staatlich unterstützte Hacker und die Anfälligkeit von Supply Chains in der Softwareentwicklung.<br /> <br /> == Angriffsvektor ==<br /> Die Hauptstrategie der Angreifer bestand darin, eine Supply-Chain-Attacke durchzuführen. Sie injizierten schädlichen Code in die Software-Entwicklungs- und Distributionsprozesse von SolarWinds. Dieser Code wurde Teil eines offiziellen Software-Updates für das Orion-Produkt, das zwischen März und Juni 2020 veröffentlicht wurde.<br /> <br /> == Technische Details des Angriffs ==<br /> === Einschleusung des Schadcodes ===<br /> Die Angreifer nutzten einen kompromittierten Zugang zum Software-Build-Prozess von SolarWinds. Sie fügten den Schadcode in die Bibliotheken der Orion-Plattform ein, was als Trojanisierung des Build-Prozesses bekannt ist. Der Code wurde so konzipiert, dass er nach einer Ruhephase von zwei Wochen aktiv wurde, um eine frühzeitige Entdeckung zu vermeiden.<br /> <br /> === Verbreitung und Maskierung ===<br /> Nach der Aktivierung des Schadcodes etablierte dieser eine Verbindung zu einem Command-and-Control-Server (C2), von dem aus die Angreifer Anweisungen senden konnten. Um nicht entdeckt zu werden, tarnten die Angreifer den Netzwerkverkehr als Orion-Verbesserungsprogrammdaten und nutzten weitere Techniken zur Verschleierung ihrer Aktivitäten.<br /> <br /> === Datendiebstahl und Spionage ===<br /> Einmal im Netzwerk, bewegten sich die Angreifer lateral, um weitere sensible Systeme zu infiltrieren. Sie sammelten Informationen, darunter E-Mails und Dokumente, und gewannen tiefe Einblicke in die internen Prozesse und Sicherheitsmaßnahmen der betroffenen Organisationen.<br /> <br /> == Aufdeckung und Reaktion ==<br /> FireEye, ein Sicherheitsunternehmen, das selbst betroffen war, entdeckte den Angriff und machte ihn öffentlich. Dies führte zu einer intensiven Überprüfung und Analyse der Sicherheitsmaßnahmen in zahlreichen Organisationen weltweit. Als Reaktion auf den Angriff wurden umfangreiche Maßnahmen zur Stärkung der Cybersicherheit und zur Überwachung der Software-Entwicklungsketten eingeleitet.</div>

Thomas.will