Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (19)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Was ist hier versteckt?

Gelesen: 27116 Kommentare: 6 Rating: 6

Mittwoch, 20. Januar 2021

Im vorigen Oktober berichteten wir über die Untersuchung der APT-Angriffe auf staatliche Einrichtungen in Kasachstan und Kirgisistan. Die Untersuchung zeigte, dass die unbefugte Präsenz von Malware in den beiden Netzwerken über drei Jahre andauerte. In den betroffenen Netzwerken wurden ganz verschiedene Schadprogramme erkannt, woraus sich schließen lässt, dass diese Angriffe von mehreren Hacker-Teams organisiert wurden. Kein Wunder: Wenn es Sicherheitslücken (wie schwache Passwörter, Schwachstellen in eingesetzten Anwendungen wegen fehlender Patches, Möglichkeit der Installation unerlaubter Software durch Mitarbeiter etc.) gibt, können sie von mehreren Hacker-Teams ausgenutzt werden. Eines der Paradebeispiele ist SolarWinds.

Im Fall SolarWinds tauchten interessante Details auf. Es stellte sich heraus, dass Anmeldedaten für den SolarWinds Aktualisierungsserver, über den böswillige Updates verbreitet wurden, bereits 2019 auf GitHub veröffentlicht wurden – Die Informationen darüber waren seit mindestens November 2019 verfügbar. Dabei konnten Kunden von SolarWinds die mit einer gültigen digitalen Signatur versehenen bösartigen Updates noch von März bis Juni 2020 über die Server des Entwicklers herunterladen, d.h. viel später, als das Passwort öffentlich zugänglich wurde. Ob der Softwarehersteller das Passwort änderte, ist unbekannt. Wie berichtet wird, wurde ein Testangriff auf SolarWinds im Oktober 2019 durchgeführt. Aber dies kann ein Zufall sein, da das Passwort sehr einfach war, nicht einmal Großbuchstaben enthielt und leicht hätte ermittelt werden können, noch bevor es auf GitHub veröffentlicht wurde – solarwinds123.

Logischerweise wurde vermutet, dass das Netzwerk von SolarWinds Spuren eines weiteren Hacker-Teams aufweist, das die Web-Shell Supernova verwendet, die (im Unterschied zu SUNBURST) nicht mit einem gültigen Zertifikat von SolarWinds signiert wurde. Vermutlich wurde Supernova verwendet, um die im Internet verfügbaren SolarWinds Orion-Installationsdateien zu infizieren, indem eine Schwachstelle wie CVE-2019-8917 ausgenutzt wurde.

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Die bösartigen Updates wurden mehrere Monatelang verbreitet, ohne dass Unternehmen, die die Updates herunterluden, etwas Verdächtiges bemerkten. Dies erinnert uns an die Untersuchung des Vorfalls mit dem Mining-Trojaner, der in einem in ganz Russland verbreiteten Programm integriert war. Die Software wurde von vielen Unternehmen genutzt, die unterschiedliche Sicherheitssysteme einsetzten, aber niemand achtete auf die erhöhte Belastung der Server.

Wie unsere Untersuchungen und der SolarWinds-Vorfall zeigen, kann Malware in Unternehmensnetzwerke eindringen. Unter anderem kann sie in Updates integriert sein.

Daher empfehlen wir, alle Updates vor der Installation mithilfe unseres Service Dr.Web vxCube zu scannen.

#Malware #Unternehmenssicherheit #Sicherheitsupdates #Dr.Web_Technologien #Hacker

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer