Solar Winds Hack

Aus Xinux Wiki
Version vom 9. März 2025, 06:18 Uhr von Thomas.will (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Grundsätzliches

  • Der SolarWinds-Hack war eine hochentwickelte Advanced Persistent Threat (APT)-Kampagne, die weltweit Tausende Organisationen betraf
  • Die Angreifer kompromittierten die Software-Lieferkette von SolarWinds, einem Anbieter für IT-Management-Software
  • Die Attacke wurde durch eine infizierte Version der Orion-Software verbreitet, die von Unternehmen und Regierungsbehörden genutzt wurde
  • Die Hintermänner gelten als staatlich unterstützte Hackergruppe, mutmaßlich aus Russland (APT29/Cozy Bear)
  • Der Angriff ermöglichte den Zugang zu Netzwerken zahlreicher US-Behörden, Unternehmen und kritischer Infrastrukturen

Technische Details

  • Die Malware wurde als SUNBURST bezeichnet und in legitime Updates der SolarWinds Orion-Software eingebaut
  • Nach der Installation verhielt sich die Malware zunächst unauffällig, um nicht entdeckt zu werden
  • Sie kontaktierte eine Command-and-Control (C2)-Infrastruktur und ließ Angreifer schrittweise Zugriff auf infizierte Systeme gewinnen
  • Die Angreifer nutzten Golden SAML-Angriffe, um sich als vertrauenswürdige Benutzer auszugeben und Sicherheitsmechanismen zu umgehen
  • Es wurden zahlreiche Credential-Dumping-Techniken angewandt, um administrative Berechtigungen zu erlangen
  • Die Infektion breitete sich über seitliche Bewegungen in Netzwerken aus und ermöglichte langfristige Überwachung und Datendiebstahl

Timeline

2019

  • Die erste Infiltration von SolarWinds-Infrastruktur erfolgt
  • Angreifer platzieren Backdoors in Orion-Software-Updates

2020

  • Die infizierte Orion-Software wird über offizielle Updates an Kunden ausgeliefert
  • Mehr als 18.000 Organisationen installieren unbewusst die kompromittierte Version
  • Die Malware aktiviert sich und beginnt, Netzwerkzugriffe an die Angreifer zu übermitteln
  • Der Angriff wird im Dezember 2020 von FireEye entdeckt, nachdem eigene Systeme kompromittiert wurden
  • US-Regierungsbehörden bestätigen den großflächigen Einbruch in sicherheitskritische Netzwerke

2021

  • Nachforschungen zeigen, dass zahlreiche US-Behörden, Technologieunternehmen und kritische Infrastrukturen betroffen sind
  • SolarWinds und Sicherheitsforscher arbeiten an Patches und Schadensbegrenzung
  • US-Regierung verhängt Sanktionen gegen Russland als mutmaßlichen Angreifer

Entdeckung und Analyse

  • FireEye entdeckt den Angriff, als eigene Red-Team-Tools kompromittiert wurden
  • Eine forensische Untersuchung deckt die Manipulationen in der SolarWinds Orion-Software auf
  • Die Analyse zeigt, dass die Malware über lange Zeiträume unbemerkt aktiv war
  • Die kompromittierten Systeme ermöglichten tiefgehende Spionage und Datenexfiltration

Schutzmaßnahmen

  • Unternehmen und Behörden sollten verstärkte Sicherheitsprüfungen in der Software-Lieferkette durchführen
  • Zero-Trust-Modelle und segmentierte Netzwerke reduzieren das Risiko von lateralen Bewegungen
  • Implementierung von Multi-Factor Authentication (MFA) zur Absicherung gegen gestohlene Anmeldedaten
  • Überwachung von ungewöhnlichen Netzwerkaktivitäten und verdächtigen DNS-Anfragen
  • Regelmäßige Updates und Patches für Systeme sowie verstärkte Protokollierung von Zugriffsversuchen

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Solar_Winds_Hack&oldid=59482