Atlantic.Net stellt diese Sicherheitsempfehlung als Nachricht bereit; Wir möchten unseren Kunden versichern, dass Atlantic.Net keine SolarWinds-Produkte intern oder in einem unserer Serviceangebote verwendet.
Unternehmen, Organisationen und Regierungsinstitutionen sind von den Folgen des SolarWinds-Hacks betroffen. Die Geschichte dieser weitreichenden Sicherheitsverletzung brach um den 14. Dezember 2020 herum aus, und selbst jetzt kennen wir nicht die vollen Auswirkungen des Vorfalls. Jeden Tag erfahren wir mehr über das Ausmaß dieses beispiellosen Cyberangriffs auf die Lieferkette.
Was wir wissen, ist, dass Hacker im März 2020 die Computerinfrastruktur von SolarWinds gestrandet und die Kontrolle über die Content-Management-Server von SolarWinds erlangt haben. Im April 2020 haben die Angreifer ausgeklügelte Malware in „echte“ digital signierte SolarWinds-Updates eingebettet.
Bei den betroffenen Updates handelte es sich um die automatisierten Updates, nach denen Client-Computer beim Herunterladen von Sicherheitspatches und Hotfixes für die Orion-Anwendungen von SolarWinds suchen. Dieses weithin bewährte Verfahren zur Softwareaktualisierung wird von unzähligen Technologieunternehmen auf der ganzen Welt verwendet.
Für die SolarWinds-Kunden, die das vergiftete Update heruntergeladen und installiert haben, verwendeten die Hacker das kompromittierte Update, um eine Schadsoftware namens SUNBURST in kompromittierte Kundenserver einzuschleusen. Die Malware blieb offenbar etwa 2 Wochen lang inaktiv, um der Erkennung zu entgehen, bevor sie von einer Command-and-Control-Site (C2) mithilfe von Subdomains aktiviert wurde, die von der Malware gesammelt wurden.
Sicherheitsexperten glauben, dass die Malware von April bis Juli 2020 inaktiv war und sich vor aller Augen versteckte, und viele glauben, dass dieser Zeitraum von den Bedrohungsakteuren zur Zielaufklärung genutzt wurde, um die wertvollsten Ziele zu identifizieren. Obwohl wir nicht wissen, welche Daten kompromittiert wurden, wissen wir, dass Office 365-Daten wahrscheinlich verletzt wurden, möglicherweise von OneDrive, Word-Dokumenten, Sharepoint-Websites und so weiter.
Die Liste der hochkarätigen Opfer wächst täglich. Es ist bekannt, dass einige der größten Namen in Technologie und Regierung verletzt wurden. Viele Sicherheitsexperten spekulieren, dass der Angriff von Russland orchestriert wurde, eine Ansicht, die durch eine gemeinsame Erklärung von FBI, CISA, ODNI und NSA gestützt wird, in der behauptet wird, dass die schlechten Schauspieler wahrscheinlich Russen waren.
Die CISA war so besorgt über den Verstoß, dass sie am 14. Dezember anordnete, alle nichtmilitärischen Regierungssysteme, auf denen die SolarWinds Orion-Software ausgeführt wurde, herunterzufahren und vom Netzwerk zu trennen.
Was ist ein Supply-Chain-Angriff?
Ein Supply-Chain-Angriff ist ein Sicherheitsvorfall, der auftritt, wenn ein böswilliger Akteur das System eines Ziels infiltriert, indem er einen externen Partner oder Dienstanbieter ausnutzt, um sich unbefugten Zugriff auf die Systeme und Datendateien des Ziels zu verschaffen.
Globale Unternehmen sind heute stärker vernetzt als je zuvor in der Geschichte. Cloud Computing und das Internet haben die Tools bereitgestellt, die es Unternehmen ermöglichen, große Mengen an vertraulichen Geschäftsdaten schnell auszutauschen. Üblicherweise kaufen Unternehmen Software und Hardware voneinander, um ihre eigenen Angebote für ihre Kunden zu verbessern. Bei diesem Lieferkettenangriff kauften Unternehmen, globale Organisationen und US-Regierungsinstitutionen das SolarWinds Orion Network Management System, um Einblicke in ihre Netzwerke zu gewinnen.
Die wahren Opfer des Hacks sind nicht SolarWinds, sondern die 18.000 Kunden, die nie damit gerechnet haben, Opfer eines ausgeklügelten Hacks zu werden, über den sie keine Kontrolle hatten, eines Hacks, der sich möglicherweise als der möglicherweise größte Cyberangriff der Geschichte herausstellt, und eines Angriffs, der das ist kann zu dramatischen Veränderungen in der Cybersicherheit führen.
Ein Angriff auf die Lieferkette sprengt Cybersicherheitskontrollen weit auf. Die Opfer befolgten Best Practices für Cybersicherheit, indem sie sicherstellten, dass ihre Plattformen auf die neueste Version aktualisiert wurden; Sie wussten nicht, dass ihr Technologieanbieter SolarWinds von mutmaßlichen russischen Hacking-Trupps infiltriert worden war, die Updates vergiftet hatten, um die gesamte Lieferkette zu infizieren.
Wer war Ziel des Lieferkettenangriffs?
Unser Bild von diesem Hack ändert sich ständig, während sich die Geschichte entfaltet, und wir werden das volle Ausmaß des Hacks möglicherweise noch viele Monate lang nicht kennen. Aber wir wissen, dass die US-Regierung erheblich betroffen ist. Es gibt Berichte, dass das US-Finanzministerium, das US-Außenministerium, die CISA und das DOE angegriffen wurden.
Obwohl die genauen Details nicht bekannt sind, besagt eine Theorie, dass jede Regierungsbehörde Office 365 und Exchange für E-Mails verwendete und dass die gemeinsam genutzten Schlüssel für Azure Active Directory kompromittiert wurden, was es den Angreifern möglicherweise ermöglichte, sich als echte Benutzer auszugeben, um auf E-Mail-Systeme und Dokumentbibliotheken zuzugreifen .
Diese Theorie wird durch vom Justizministerium veröffentlichte Erklärungen gestützt, dass „diese Aktivität den Zugriff auf die Microsoft O365-E-Mail-Umgebung des Ministeriums beinhaltete“ und „die Anzahl der möglicherweise aufgerufenen O365-Postfächer auf etwa 3 Prozent begrenzt zu sein scheint und wir keinen Hinweis darauf haben, dass es sich um geheime Systeme handelt waren betroffen.“
Von den vielen angegriffenen Technologiegiganten wissen wir, dass unter den Opfern das Netzwerk-Powerhouse Cisco Systems, der CPU-Hersteller Intel, der GPU-Hersteller Nvidia Corp. und die Tech-Schwergewichte VMware, Microsoft und Belkin waren. Zweifellos sind noch viele weitere Unternehmen betroffen, aber es wird Wochen oder Monate dauern, bis das vollständige Bild bekannt ist.
Wenn Ihr Unternehmen Bedenken hinsichtlich der Cybersicherheit hat, können Sie sich gerne an Atlantic.Net wenden. Wir sind Spezialisten für Managed Services, Cloud Hosting und HIPAA-Compliance. Die Sicherheit unserer Infrastruktur ist von größter Bedeutung, und wir arbeiten hart daran, sicherzustellen, dass wir die besten Sicherheitsprozesse einsetzen.
Dieser Cyberangriff wird als einer der schlimmsten in die Geschichte eingehen, und wir machen uns Sorgen um unsere Freunde in der Branche, die davon betroffen sein könnten. Die Kunden von SolarWinds haben nichts falsch gemacht; Sie kauften eine branchenführende Server-Management-Suite von einem angesehenen Unternehmen, und jetzt wurde jeder Kunde aufgrund unbekannter Sicherheitsinkompetenz ohne eigenes Verschulden einem Risiko ausgesetzt. Nehmen Sie noch heute Kontakt auf.