Malwarebytes geknackt

Hacker-Attacke auf USA zieht immer weitere Kreise

Symbolbild.

(Bild: stock.adobe.com)

Die große Hacker-Attacke auf US-Unternehmen und -Behörden über den IT-Dienstleister SolarWinds zieht immer weitere Kreise. Wie nun bekannt wurde, haben die Angreifer neben Microsoft und FireEye noch ein weiteres IT-Security-Unternehmen gehackt: Malwarebytes. Dort haben die Hacker, die US-Ermittler in Russland vermuten, E-Mails abgesaugt.

Wie „ZDNet“ berichtet, hatte Microsoft Malwarebytes Mitte Dezember darauf hingewiesen, dass man verdächtige Aktivitäten in Office-365-Angeboten entdeckt habe, die Malwarebytes nutzt. Zugang zu Malwarebytes erlangten die Hacker demnach über ein E-Mail-Sicherheitsprodukt. Die Hacker drangen also nicht nur über verseuchte SolarWinds-Updates in Netzwerke ein, sondern nutzten auch andere Methoden.

Wir haben herausgefunden, dass die Angreifer Zugang zu einer limitierten Anzahl interner Firmen-Mails hatten.

Marcin Kleczynski, Malwarebytes

Gleich nach der Warnung durch Microsoft habe man die internen Systeme überprüft, berichtet Malwarebytes. „Wir haben herausgefunden, dass die Angreifer nur Zugang zu einer limitierten Anzahl interner Firmen-Mails hatten“, sagt Firmenchef Marcin Kleczynski.

„In unseren internen Systemen haben wir keine Evidenz für unrechtmäßigen Zugriff oder Kompromittierung in irgendeiner Vor-Ort-Infrastruktur oder Produktionsumgebung gefunden“, führt Kleczynski weiter aus. Die hauseigene Antiviren-Software sei also weiterhin sicher.

Hacker stiegen bei vier IT-Security-Spezialisten ein
Trotzdem zeigt der erfolgreiche Angriff auf ein weitere IT-Security-Unternehmen, dass der im Dezember bekannt gewordene Hack weitere Kreise zieht, als bisher angenommen. Vor Malwarebytes hatten zwei andere namhafte IT-(Security)-Unternehmen erfolgreiche Angriffe gemeldet: Microsoft und FireEye. Ein weiterer Angriffsversuch auf das Unternehmen CrowdStrike scheiterte dagegen.

Bei Malwarebytes habe man in den letzten Wochen überprüft, ob es zu Veränderungen im Quellcode der hauseigenen Produkte gekommen sei. Dass die Hacker in eine derart große Zahl von Behörden, Firmen und Organisationen eindringen konnten, verdanken sie nämlich der Manipulation der Update-Server bei SolarWinds: Die Malware für den erfolgreichen Angriff wurde über ein verseuchtes Update an Tausende Firmenkunden ausgespielt.

Über die SolarWinds-Server wurde die Malware im großen Stil verteilt. In den Netzwerken der Kundschaft waren die Hacker wählerisch.

(Bild: stock.adobe.com)

Update-Server geknackt, Kundschaft gehackt
Über die Vorgehensweise der Angreifer, bei denen US-Ermittler eine Nähe zur russischen Regierung vermuten, wurde zuletzt immer mehr bekannt. Demnach sollen sie bereits Mitte 2019 in den Netzwerken von SolarWinds ihr Unwesen getrieben haben. Zunächst infiltrierte man SolarWinds mit einer Malware namens Sunspot, mit der man die Update-Server manipulierte. Von März bis Juni 2020 sollen die verseuchten Updates dann an die SolarWinds-Kundschaft ausgespielt worden sein.

Nur ganz bestimmte Daten abgesaugt
Statt sofort im großen Stil Daten abzusaugen, beobachteten die Angreifer das Infektionsgeschehen. Obwohl 18.000 Kunden des Unternehmens infiziert wurden, wurde offenbar nur in einer Handvoll Fällen das Netzwerk der Kunden tiefer infiltriert. Dafür wurde weitere Malware nachgeladen - insgesamt haben IT-Security-Experten vier verschiedene Schädlinge entdeckt, die bei dem großen Hack zum Einsatz kamen.

Dass die Hacker derart ausgefuchst vorgegangen sind, macht IT-Security-Unternehmen, die den Fall nun aufarbeiten, Sorgen. Bei FireEye - selbst Opfer der Hacker - hat man daher nun eigens eine Scan-Software für SolarWinds-Kunden programmiert, mit der diese ihre Netzwerke nochmals auf Spuren von Malware überprüfen können.