SolarWinds macht Praktikant für schwaches Passwort verantwortlich, das zum größten Angriff im Jahr 2020 führte

Cyber Security News

Während Cybersecurity-Forscher weiterhin den ausgedehnten Angriff auf die Lieferkette von SolarWinds zusammensetzen, machen Top-Manager des in Texas ansässigen Software-Dienstleisters einen Praktikanten für einen kritischen Passwortfehler verantwortlich, der mehrere Jahre lang unbemerkt blieb.

Das besagte Passwort “solarwinds123” soll ursprünglich seit dem 17. Juni 2018 über ein GitHub-Repository öffentlich zugänglich gewesen sein, bevor die Fehlkonfiguration am 22. November 2019 behoben wurde.

Aber in einer Anhörung vor den House Committees on Oversight and Reform und Homeland Security zu SolarWinds am Freitag sagte der CEO Sudhakar Ramakrishna aus, dass das Passwort bereits 2017 verwendet wurde.

Während eine vorläufige Untersuchung des Angriffs ergab, dass es den Betreibern hinter der Spionagekampagne gelang, die Infrastruktur für die Softwareerstellung und das Codesignieren der SolarWinds Orion-Plattform bereits im Oktober 2019 zu kompromittieren, um die Sunburst-Backdoor bereitzustellen, wiesen die Bemühungen von Crowdstrike zur Reaktion auf den Vorfall auf eine überarbeitete Zeitleiste hin, die den ersten Einbruch in das SolarWinds-Netzwerk am 4. September 2019 feststellte.

Bis heute wurden mindestens neun Regierungsbehörden und 100 Unternehmen des privaten Sektors in einer Operation angegriffen, die als eine der raffiniertesten und am besten geplanten Operationen beschrieben wird, bei der das bösartige Implantat in die Orion-Softwareplattform injiziert wurde, mit dem Ziel, die Kunden zu kompromittieren.

“Ein Fehler, den ein Praktikant gemacht hat.”

“Ich habe ein stärkeres Passwort als ‘solarwinds123’, um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad zu sehen”, sagte die Abgeordnete Katie Porter aus Kalifornien. “Sie und Ihre Firma sollten die Russen daran hindern, die E-Mails des Verteidigungsministeriums zu lesen.”

“Ich glaube, das war ein Passwort, das ein Praktikant auf einem seiner Server zurück in 2017 verwendet, die zu unserem Sicherheitsteam gemeldet wurde, und es wurde sofort entfernt,” Ramakrishna sagte als Antwort auf Porter.

Der ehemalige CEO Kevin Thompson wiederholte Ramakrishnas Aussage während der Zeugenaussage. “Das bezog sich auf einen Fehler, den ein Praktikant gemacht hat, und sie haben gegen unsere Passwortrichtlinien verstoßen und dieses Passwort auf ihrem eigenen privaten GitHub-Konto veröffentlicht”, sagte Thompson. “Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, haben sie es heruntergenommen.”

Der Sicherheitsforscher Vinoth Kumar hatte das Unternehmen im Dezember über ein öffentlich zugängliches GitHub-Repository informiert, das die FTP-Zugangsdaten der Download-Webseite des Unternehmens preisgab, so dass ein Hacker die Zugangsdaten nutzen konnte, um eine bösartige ausführbare Datei hochzuladen und einem SolarWinds-Update hinzuzufügen.

In den Wochen nach der Enthüllung wurde SolarWinds im Januar 2021 mit einer Sammelklage konfrontiert, in der behauptet wurde, das Unternehmen habe es versäumt, offenzulegen, dass “seit Mitte 2020 die SolarWinds Orion-Überwachungsprodukte eine Schwachstelle hatten, die es Hackern ermöglichte, den Server, auf dem die Produkte liefen, zu kompromittieren”, und dass “SolarWinds’ Update-Server ein leicht zugängliches Passwort von ‘solarwinds123’ hatte”, wodurch das Unternehmen “einen erheblichen Reputationsschaden erleiden würde.”

Auch NASA und FAA im Visier

Es wird vermutet, dass bis zu 18.000 SolarWinds-Kunden das trojanisierte Orion-Update erhalten haben, obwohl die Bedrohungsakteure, die hinter der Operation stehen, ihre Ziele sorgfältig auswählten und sich nur in einigen wenigen Fällen für eine Eskalation der Angriffe entschieden, indem sie die Teardrop-Malware auf der Grundlage von Informationen einsetzten, die sie während einer ersten Erkundung der Zielumgebung nach hochwertigen Konten und Anlagen gesammelt hatten.

Neben der Infiltration der Netzwerke von Microsoft, FireEye, Malwarebytes, CrowdStrike und Mimecast sollen die Angreifer laut Washington Post auch SolarWinds als Ausgangspunkt genutzt haben, um in die National Aeronautics and Space Administration (NSA) und die Federal Aviation Administration (FAA) einzudringen.

Bei den sieben anderen angegriffenen Behörden handelt es sich um das Außenministerium, das Justizministerium, das Handelsministerium, das Ministerium für Innere Sicherheit, das Energieministerium, das Finanzministerium und die National Institutes of Health.

“Zusätzlich zu dieser Schätzung haben wir weitere Opfer aus dem Regierungs- und Privatsektor in anderen Ländern identifiziert, und wir halten es für sehr wahrscheinlich, dass es noch weitere, noch nicht identifizierte Opfer gibt, vielleicht vor allem in Regionen, in denen die Cloud-Migration noch nicht so weit fortgeschritten ist wie in den USA”, sagte Microsoft-Präsident Brad Smith während der Anhörung.

Die Bedrohungsgruppe, die angeblich russischen Ursprungs ist, wird unter verschiedenen Bezeichnungen verfolgt, darunter UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) und Dark Halo (Volexity).

“Die Hacker starteten den Hack von innerhalb der Vereinigten Staaten, was es der US-Regierung zusätzlich erschwerte, ihre Aktivitäten zu beobachten”, sagte die stellvertretende nationale Sicherheitsberaterin Anne Neuberger in einem Briefing des Weißen Hauses im vergangenen Monat. “Dies ist ein raffinierter Akteur, der sein Bestes getan hat, um seine Spuren zu verwischen. Wir glauben, dass sie Monate gebraucht haben, um diesen Kompromiss zu planen und auszuführen.”

Annahme eines “Secure by Design”-Ansatzes

Smith verglich die Cyberattacke von SolarWinds mit einer “groß angelegten Serie von Hauseinbrüchen” und drängte darauf, die Software- und Hardware-Lieferketten des Technologiesektors zu stärken und einen breiteren Austausch von Bedrohungsdaten zu fördern, um bei solchen Vorfällen in Echtzeit reagieren zu können.

Zu diesem Zweck hat Microsoft CodeQL-Abfragen offengelegt, die für die Suche nach Solorigate-Aktivitäten verwendet werden und die laut Microsoft von anderen Unternehmen verwendet werden könnten, um ihren Quellcode im großen Maßstab zu analysieren und nach Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) und Codierungsmustern im Zusammenhang mit dem Angriff zu suchen.

In einer damit zusammenhängenden Entwicklung haben Cybersecurity-Forscher gegenüber dem Wall Street Journal enthüllt, dass die mutmaßlichen russischen Hacker die Cloud-Computing-Rechenzentren von Amazon genutzt haben, um einen wichtigen Teil der Kampagne durchzuführen, was ein neues Licht auf den Umfang der Angriffe und die von der Gruppe eingesetzten Taktiken wirft. Der Tech-Gigant hat seine Erkenntnisse über die Hacking-Aktivitäten jedoch bisher nicht öffentlich gemacht.

SolarWinds seinerseits sagte, dass es die aus dem Vorfall gewonnenen Erkenntnisse umsetzt, um sich zu einem “Secure by Design”-Unternehmen weiterzuentwickeln, und dass es zusätzliche Software zum Schutz vor Bedrohungen und zur Bedrohungsjagd auf allen seinen Netzwerkendpunkten einsetzt, einschließlich Maßnahmen zum Schutz seiner Entwicklungsumgebungen.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com