Solarwinds: Einbrecher verscherbeln Windows-Quellcode und FireEye-Angriffs-Tools
Für insgesamt 1 Million US-Dollar bietet SolarLeaks Zugang zu gestohlenen Datenschätzen. Die Echtheit ist allerdings bislang unbewiesen.
(Bild: NASA)
Über eine Hintertür in der Netzwerk-Management-Software SolarWinds Orion brachen Kriminelle bei Firmen wie FireEye, Microsoft und vielen US-amerikanischen Behörden ein. Jetzt verscherbeln sie angeblich auf einer Website namens SolarLeaks ihre Beute: 600.000 US-Dollar für Windows-Quellcode, 500.000 für Quellcode von Cisco-Produkten; und die handgefertigten Angriffs-Tools der Security-Firma Fireeye offeriert die Webseite zum Schnäppchenpreis von 50.000 US-Dollar.
Echtheit zweifelhaft
Die Seite bemüht sich zwar um einen authentischen äußeren Eindruck. So wartet sie etwa mit einer validen digitalen PGP-Signatur auf; die lässt jedoch keine Rückschlüsse auf den Urheber zu. Beweise zur Echtheit der Daten liefern die Urheber der Seite ebenfalls nicht. Die präsentierten Fakten hätte jede(r) den Medien entnehmen können. Somit könnte das ganze genauso gut eine Fälschung sein.
Aus dem Verkauf der Datenpakete wird wohl vorerst auch nichts. Die Download-Links der verschlüsselten Download-Pakete hat der Hoster Mega bereits blockiert. Und der für die Kommunikation mit den Erpressern angegebene ProtonMail-Account wurde angeblich auch schon gesperrt.
Wirklich Spionage?
Als Urheber der SolwarWinds-Einbruchs und der nachfolgenden Einbrüche bei amerikanischen Konzernen und Behörden beschuldigen FBI, CISA und die NSA in einem gemeinsamen Statement eine Advanced-Persistent-Threat-Gruppierung (APT) mit "wahrscheinlich russischem Ursprung". Allgemein werden die Vorfälle als staatlich organisierte Spionage-Aktivitäten eingeordnet.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ein Spionage-Hintergrund der Einbrüche mag auf den ersten Blick nicht ganz zu dem aktuellen Angeboten passen, das eher an das Vorgehen herkömmlicher Cybercrime-Banden erinnert. Doch das ist nicht so außergewöhnlich. So gelang es vermutlich etwa 2016 einer APT-Gruppe, der NSA ihre Kronjuwelen in Form von hochspezialisierten Angriffs-Tools zu stehlen. Einige Zeit später boten die dubiosen Shadow Broker dann unter anderem diese NSA-internen Einbruchswerkzeuge zum Kauf an.
Die Shadow Broker veröffentlichten übrigens später insbesondere den NSA-Exploit EternalBlue, mit dessen Hilfe die Schädlinge WannaCry und NotPetya Milliardenschäden verursachten. Mal sehen, was nächste Woche passiert. Da versprechen die Urheber der SolarLeaks-Seite mehr Informationen zu liefern.
Mutmaßlich staatlichen Hackern war es gelungen, SolarWinds Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die mehr als 300.000 Kunden weltweit einsetzen. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium.
- Cyberattacken: Auch deutsche Behörden nutzten SolarWinds-Software – nur welche?
- #heiseshow: Cyberattacke über SolarWinds – wie angreifbar sind wir?
- Cyber-Attacke über SolarWinds: Auch US-Nachrichtendienste beschuldigen Russland
- Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode
- US-Justizminister widerspricht Trump: Moskau hinter großer Cyberattacke
- SolarWinds: Zweite, unabhängige Backdoor-Malware für Orion-Plattform entdeckt
- SolarWinds: FireEye, Microsoft & GoDaddy bauen "Killswitch" für Sunburst-Malware
- Cyberangriffe via SolarWinds-Software – neue Entwicklungen im Überblick
- FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe
- Cyberangriffe gegen US-Ministerien – Moskau unter Verdacht
(ju)
