Ein Fünftel der Sunburst-Backdoor-Opfer aus der Fertigungsindustrie

  • Fast ein Fünftel der Unternehmen, die von der Sunburst-Backdoor betroffen sind, die von der Supply-Chain-Attacke SolarWinds ausgeht, stammen aus der Fertigungsindustrie, wie eine neue Analyse von Kaspersky zeigt.

    Während Forscher bereits technische Details der Sunburst-Backdoor aufgedeckt haben, die in den SolarWinds-Vorfall Ende letzten Jahres eingebettet war, werden Informationen über die vollständigen Auswirkungen des Angriffs noch untersucht. Es wurde offiziell bestätigt, dass etwa 18.000 Benutzer möglicherweise Backdoor-Versionen von SolarWinds installiert haben und damit dem Risiko weiterer Angriffe ausgesetzt sind, aber Kaspersky hat versucht, mehr Informationen über die Art der betroffenen Organisationen zu erhalten.

    Zu diesem Zweck stellten die ICS-CERT-Forscher von Kaspersky eine Liste von fast 2000 lesbaren und zuordenbaren Domains aus den verfügbaren dekodierten internen Domainnamen zusammen, die aus den vom Sunburst DomainName Generation Algorithm generierten DNS-Namen gewonnen wurden. Dabei zeigte sich, dass rund ein Drittel (32,4 %) aller Opfer Industrieunternehmen waren, wobei die Fertigungsindustrie (18,11 % aller Opfer) mit Abstand am stärksten betroffen war. Es folgten Versorgungsunternehmen (3,24 %), das Baugewerbe (3,03 %), Transport und Logistik (2,97 %) sowie Öl und Gas (1,35 %).

    Die Regionen, in denen diese Industrieunternehmen ansässig waren, waren breit gefächert, darunter Benin, Kanada, Chile, Dschibuti, Indonesien, Iran, Malaysia, Mexiko, die Niederlande, die Philippinen, Portugal, Russland, Saudi-Arabien, Taiwan, Uganda und die USA.

    Maria Garnaeva, Senior Security Researcher bei Kaspersky, kommentierte: “Die SolarWinds-Software ist in vielen Systemen rund um den Globus in verschiedenen Branchen hoch integriert, und daher ist das Ausmaß des Sunburst-Angriffs beispiellos – viele der betroffenen Organisationen waren für die Angreifer zunächst vielleicht gar nicht von Interesse. Obwohl wir keine Beweise für einen Angriff der zweiten Stufe unter diesen Opfern haben, sollten wir die Möglichkeit nicht ausschließen, dass dies in der Zukunft geschehen könnte. Daher ist es für Organisationen, die möglicherweise Opfer des Angriffs geworden sind, von entscheidender Bedeutung, die Infektion auszuschließen und sicherzustellen, dass sie die richtigen Verfahren zur Reaktion auf Vorfälle eingerichtet haben.”

    Die Cybersecurity-Firma rät, dass mögliche Opfer der SolarWinds-Kompromittierung überprüfen sollten, ob sie Backdoor-Versionen installiert haben, und auf bekannte Indikatoren für eine Kompromittierung achten sollten, wie sie in der CISA-Warnung AA20-35A dargestellt sind.

    Während die Auswirkungen des öffentlichkeitswirksamen Vorfalls weitergehen, haben Anfang dieser Woche mehrere weitere Anbieter von Cybersicherheitslösungen bekannt gegeben, dass sie von denselben Bedrohungsakteuren angegriffen wurden, die auch SolarWinds kompromittiert haben.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com