NASA, Pentagon und Co. – Hacker infiltrieren sensible Ziele

Die in Russland beheimatete Hackergruppe APT29, auch Cozy Bear genannt, soll eine Reihe US-Behörden, darunter das Außenministerium, das Justizministerium und das Pentagon sowie die NASA und tausende Firmen weltweit infiltriert haben. Laut Medienberichten soll dabei derselbe Angriffsvektor zum Einsatz gekommen sein, mit dem kürzlich das Sicherheitsunternehmen Fireeye gehackt wurde. Gegenüber dem Nachrichtensender CNN haben die Behörden den Angriff inzwischen bestätigt.

Laut einem Bericht von Fireeye wurde die für den Angriff genutzte Malware über Cloud-Server der IT-Überwachungs- und Verwaltungssoftware Orion von Solarwinds verteilt. Die Hacker integrierten dafür die Malware in ein Update der Software, das von den kompromittierten Firmen und Behörden dann installiert wurde.

Mehrere Updates betroffen

Laut Fireeye begann der Angriff bereits im Frühling 2020. Im März und Mai 2020 wurden mehrere signierte und trojanisierte Updates erstellt und über die Solarwinds-Server verbreitet.

Inzwischen hat Fireeye auf GitHub Signaturen für die Sunburst genannte Schadsoftware veröffentlicht, mit denen Snort, Yara, IOC und ClamAV infizierte Systeme bereinigen können.

In einer Stellungnahme hat auch Solarwinds die Verbreitung des Malware Sunburst über seine Update-Server bestätigt. Das Unternehmen empfielht allen Kunden eine schnellstmögliche Aktualisierung der Orion-Plattform. Laut eigenen Angaben hat Solarwinds weltweit mehr als 300.000 Kunden. Zu den möglichen Opfern des Hacks gehören deshalb neben den US-Behörden auch Konzerne wie Siemens, AT&T, Cisco, Mastercard und Microsoft.

Gegenüber der Washington Post erklärte John Scott-Railton, dass der Schaden durch den Angriff sehr wahrscheinlich enorm sein wird. In der Vergangenheit gehörte APT29 zu den aggressivsten Hackergruppen.