Business Security

Solarwinds: Einbrecher verscherbeln Windows-Quellcode und FireEye-Angriffs-Tools

Für insgesamt 1 Million US-Dollar bietet SolarLeaks Zugang zu gestohlenen Datenschätzen. Die Echtheit ist allerdings bislang unbewiesen

Über eine Hintertür in der Netzwerk-Management-Software SolarWinds Orion brachen Kriminelle bei Firmen wie FireEye, Microsoft und vielen US-amerikanischen Behörden ein. Jetzt verscherbeln sie angeblich auf einer Website namens SolarLeaks ihre Beute: 600.000 US-Dollar für Windows-Quellcode, 500.000 für Quellcode von Cisco-Produkten; und die handgefertigten Angriffs-Tools der Security-Firma Fireeye offeriert die Webseite zum Schnäppchenpreis von 50.000 US-Dollar.

Echtheit zweifelhaft

Die Seite bemüht sich zwar um einen authentischen äußeren Eindruck. So wartet sie etwa mit einer validen digitalen PGP-Signatur auf; die lässt jedoch keine Rückschlüsse auf den Urheber zu. Beweise zur Echtheit der Daten liefern die Urheber der Seite ebenfalls nicht. Die präsentierten Fakten hätte jede(r) den Medien entnehmen können. Somit könnte das ganze genauso gut eine Fälschung sein.

Aus dem Verkauf der Datenpakete wird wohl vorerst auch nichts. Die Download-Links der verschlüsselten Download-Pakete hat der Hoster Mega bereits blockiert. Und der für die Kommunikation mit den Erpressern angegebene ProtonMail-Account wurde angeblich auch schon gesperrt.

Wirklich Spionage?

Als Urheber der SolwarWinds-Einbruchs und der nachfolgenden Einbrüche bei amerikanischen Konzernen und Behörden beschuldigen FBI, CISA und die NSA in einem gemeinsamen Statement eine Advanced-Persistent-Threat-Gruppierung (APT) mit "wahrscheinlich russischem Ursprung". Allgemein werden die Vorfälle als staatlich organisierte Spionage-Aktivitäten eingeordnet.

Ein Spionage-Hintergrund der Einbrüche mag auf den ersten Blick nicht ganz zu dem aktuellen Angeboten passen, das eher an das Vorgehen herkömmlicher Cybercrime-Banden erinnert. Doch das ist nicht so außergewöhnlich. So gelang es vermutlich etwa 2016 einer APT-Gruppe, der NSA ihre Kronjuwelen in Form von hochspezialisierten Angriffs-Tools zu stehlen. Einige Zeit später boten die dubiosen Shadow Broker dann unter anderem diese NSA-internen Einbruchswerkzeuge zum Kauf an.

Die Shadow Broker veröffentlichten übrigens später insbesondere den NSA-Exploit EternalBlue, mit dessen Hilfe die Schädlinge WannaCry und NotPetya Milliardenschäden verursachten. Mal sehen, was nächste Woche passiert. Da versprechen die Urheber der SolarLeaks-Seite mehr Informationen zu liefern.

Mutmaßlich staatlichen Hackern war es gelungen, SolarWinds Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die mehr als 300.000 Kunden weltweit einsetzen. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium.

 

Quelle: heise Online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben