Atlantic.Net stellt diesen Sicherheitshinweis als Nachricht bereit; Wir möchten unseren Kunden versichern, dass Atlantic.Net keine SolarWinds-Produkte intern oder als Teil eines unserer Serviceangebote verwendet.
Am 13. Dezember 2020 erreichte die Cybersicherheitsorganisation FireEye Nachrichten über eine schwerwiegende Sicherheitsverletzung bei der SolarWinds Corporation. SolarWinds ist ein in Texas ansässiger Technologieriese, der sich mit seiner Softwareproduktlinie Orion zu einem dominierenden Akteur in den Bereichen Serverüberwachung und Netzwerkverwaltung entwickelt hat. Es bedient 300.000 Kunden weltweit und genießt das Vertrauen mehrerer hochkarätiger Organisationen und Regierungsinstitutionen.
Cybersicherheitsexperten glauben, dass ein ausgeklügelter, möglicherweise russischer, staatlich geförderter Cyberangriff die Infrastruktur von SolarWinds verletzt und viele Kunden des Unternehmens beeinträchtigt hat. Experten glauben, dass SolarWinds im Frühjahr 2020 verletzt wurde, aber die Grundlagen für den Angriff haben möglicherweise viel früher begonnen.
Globale Unternehmen wie VMware, Intel, Microsoft und Cisco sind Berichten zufolge von dem Angriff betroffen, ebenso wie alle fünf Zweige des US-Militärs, die nationale Atomsicherheitsbehörde, das Pentagon, das Außenministerium und das Büro des Präsidenten von den Vereinigten Staaten.
Der Hack war unglaublich raffiniert. Hacker konnten sich Zugang zu den internen Systemen von SolarWinds verschaffen und ihre offiziellen Orion-Software-Updates mit „Trojaner“ kompromittieren Malware-Updates. Dadurch konnten die Hacker kompromittierte Updates als legitime, von SolarWinds genehmigte Orion-Updates tarnen. Es wird angenommen, dass bis zu 18.000 SolarWinds-Kunden die Malware heruntergeladen haben. Dies ist zweifellos eine riesige, unglaubliche und ziemlich schockierende Sicherheitslücke, die einem Unternehmen im Wert von etwa 5 Milliarden US-Dollar passiert.
FireEye, das Cybersicherheitsunternehmen, das die Lücke zuerst identifiziert hat, sagte, der Hack habe den Eindringlingen „die Möglichkeit gegeben, Dateien zu übertragen, Dateien auszuführen, das System zu profilieren, den Computer neu zu starten und Systemdienste zu deaktivieren. Die Malware tarnt ihren Netzwerkverkehr als Orion Improvement Program (OIP)-Protokoll und speichert Aufklärungsergebnisse in legitimen Plugin-Konfigurationsdateien, sodass sie sich in legitime SolarWinds-Aktivitäten einfügen kann.“
Nach der Installation durch die Opfer nutzten die Hacker einen Teil des Orion-Software-Frameworks, insbesondere eine HTTP-API-Schwachstelle in einer Datei namens SolarWinds.Orion.Core.BusinessLayer.dll. Der Exploit ermöglichte es ihnen, Remote-„Jobs“ auf jedem kompromittierten Server auszuführen und das Netzwerk des Opfers mit „Gottmodus“-Privilegien zu durchqueren, um jeden verbundenen Server zu kompromittieren und Datendiebstahl durchzuführen.
Symantec und Palo Alto Networks berichteten, dass sekundäre Nutzlasten namens Teardrop und Supernova gegen „interessante Ziele“ eingesetzt wurden. Teardrop bettet die Malware Cobalt Strike Beacon ein, die versucht, Anmeldeinformationen zu stehlen, Active Directory zu hacken und Datendiebstahl durchzuführen.
Da diese Nachricht erst vor kurzem bekannt wurde, ist das Ausmaß der Auswirkungen noch nicht vollständig bekannt, aber viele Unternehmen wappnen sich, während sie die Auswirkungen der Datenschutzverletzung untersuchen. Bisher weiß niemand genau, welche Daten gestohlen wurden, obwohl die Regierung möglicherweise eine Ahnung hat. Dies könnte als der schlimmste Cyberangriff der Geschichte in die Geschichte eingehen, wenn das wahre Ausmaß dieses Verstoßes und seine Folgen verstanden werden.
Was diesen Angriff so heimtückisch machte, war der verwendete Angriffsvektor:die Lieferkette von SolarWinds. SolarWinds war nicht das Endziel, aber sie sind stark in Regierungsstellen und hochkarätige Organisationen eingebettet und vertrauen darauf. Diese Art von Angriff ist als Advanced Persistent Threat (APT) bekannt und die Angriffsmethode ist nichts anderes als ein Trojanisches Pferd; Insbesondere ist er als Remote Access Trojan (RAT) bekannt, da er auf Benutzerdaten und Unternehmensgeheimnisse abzielt.
Empfohlene Maßnahmen
SolarWinds hat die infizierten Orion-Updates identifiziert und hier Informationen darüber veröffentlicht. Benutzer müssen überprüfen, ob zwischen März und Juni 2020 aktualisierte Orion-Plattformversionen 2019.4 HF5 installiert wurden. Sie empfehlen allen Orion-Benutzern, auf Orion-Plattformversion 2020.2.1 Hot Fix 2 zu aktualisieren.
Benutzer sollten ihre Netzwerke auf Anzeichen einer Kompromittierung überprüfen. Scannen Sie nach zwei wichtigen Identifikatoren:der Verwendung der Teardrop-In-Memory-Malware zum Ablegen von Cobalt Strike Beacon und nach den Hostnamen Ihrer Organisation. Bei einer Verletzung können Hostnamen bösartige IP-Adressen aufdecken, die von den Angreifern verwendet werden.
Atlantic.Net bietet auch diese weiteren Ratschläge zu Best Practices für die Cybersicherheit:Stellen Sie sicher, dass Sie eine Form eines lokalen Passwort-Managers verwenden. Wenn Sie dies noch nicht getan haben, verwenden Sie eine Form der Multi-Faktor-Authentifizierung und installieren Sie sie dringend in Ihrem Netzwerk. Es stehen verschiedene Optionen zur Verfügung, darunter kostenpflichtige lizenzierte Versionen oder Open Source. Verwenden Sie niemals dasselbe Passwort in Ihrer gesamten Organisation, erzwingen Sie eine strenge Passwortrichtlinie und setzen Sie eine komplexe Passwortstrategie durch.
Eine kursierende Theorie darüber, wie die Hacker die anfängliche Kompromittierung handhabten, besagt, dass sie den Zugriff durch die Verwendung interner Benutzernamen und Passwörter für SolarWinds erlangten, die in öffentlichen GitHub-Code-Repositorys eingebettet gefunden wurden. Die „Solarwinds123“-Passwort-Theorie kann einige Vorteile haben und zeigt, wenn sie wahr ist, mit dem Finger auf tief verwurzelte schlechte Sicherheitspraktiken innerhalb von SolarWinds.
Wir können die Folgen dieses Verstoßes nicht vorhersagen, aber er wird wahrscheinlich schwerwiegende globale Auswirkungen haben. Dieser Vorfall wird US-Organisationen wahrscheinlich dazu zwingen, ihre Netzwerkumgebungen von Kopf bis Fuß zu prüfen. SolarWinds wird durch diesen hochkarätigen Verstoß zweifellos viele Kunden verlieren und muss mit enormen Bußgeldern rechnen. Es ist möglich, dass sie wegen Verstoßes gegen die DSGVO sogar mit Bußgeldern belegt werden, da sich viele Kunden von SolarWinds in der Europäischen Union befinden.
Wir erwarten, dass die US-Regierung das Cybersicherheitsprotokoll nach diesem Angriff überarbeitet, insbesondere wenn sich herausstellt, dass es sich um einen staatlich geförderten Angriff Russlands handelt. Die US-Regierung verfügt bereits über eine Cybersicherheitsplattform, die darauf ausgelegt ist, diese Art von Angriff, bekannt als EINSTEIN 3, zu vereiteln. Es scheint, dass dieses System diesen Angriff überhaupt nicht bemerkt hat.
Wenn Ihr Unternehmen Bedenken hinsichtlich der Cybersicherheit hat, können Sie sich gerne an Atlantic.Net wenden. Wir sind Spezialisten für Managed Services, Cloud-Hosting und HIPAA-Compliance. Die Sicherheit unserer Infrastruktur ist von größter Bedeutung, und wir arbeiten hart daran, sicherzustellen, dass wir über die besten Sicherheitsprozesse verfügen. Dieser Cyberangriff wird als einer der schlimmsten aller Zeiten in die Geschichte eingehen. Wir machen uns Sorgen um unsere Freunde in der Branche, die davon betroffen sein könnten. Die Kunden von SolarWinds haben nichts falsch gemacht; Sie kauften eine branchenführende Server-Management-Suite von einem angesehenen Unternehmen, und jetzt wurde jeder Kunde aufgrund unbekannter Sicherheitsinkompetenz ohne eigenes Verschulden einem Risiko ausgesetzt. Nehmen Sie noch heute Kontakt mit uns auf.