No Comments

Neue Malware, neue Opfer, neue Investitionen: SolarWinds-Fallaktualisierungen

 

Der jüngste Angriff auf die Lieferkette, von dem der multinationale Anbieter SolarWinds – und eine unbekannte Anzahl seiner Kunden – betroffen war, wird Mangos immer noch viel Stoff geben. Im weiteren Verlauf der Ermittlungen wird immer deutlicher, dass böswillige Akteure (angeblich Elite-Hacker, die von der russischen Regierung finanziert werden) erarbeitete ein komplexes Manöver, um in mehrere amerikanische und europäische Unternehmen einzudringen.

Das neueste Unternehmen, das sich der Liste der Opfer der Operation anschließt, ist Mimecast, mit Sitz in London und Wartung einer Cloud-basierten Sicherheitsplattform für Microsoft 365 (früher bekannt als Office 365). Die Marke bestätigte, dass Angreifer eines ihrer Zertifikate kompromittiert haben, mit denen einige ihrer Kunden ihre E-Mail-Konten mit BEC-Betrugsschutzlösungen authentifizieren konnten.

„Ungefähr 10% unserer Kunden nutzen diese Verbindung. Von denen, die es tun, Es gibt Hinweise darauf, dass eine niedrige einstellige Anzahl der M365-Mieter unserer Kunden angesprochen wurde. Wir haben diese Kunden bereits kontaktiert, um das Problem zu beheben “, erklärte Mimecast und implizierte, dass die endgültige Anzahl der Betroffenen weniger als zehn betrug. Das Unternehmen stellte die Nutzung der SolarWinds-Plattform nach dem Angriff ein.

„Als Vorsichtsmaßnahme bitten wir diese Untergruppe von Mimecast-Kunden, die diese zertifikatbasierte Verbindung verwenden, die vorhandene Verbindung auf ihrem Microsoft 365 sofort zu löschen und mithilfe des neuen Zertifikats, das wir zur Verfügung gestellt haben, eine neue zertifikatbasierte Verbindung herzustellen. Diese Aktion hat keinen Einfluss auf den Fluss eingehender oder ausgehender Nachrichten oder die damit verbundene Sicherheitsüberprüfung “, schließt er.

Noch ein Teil des Puzzles

In der Zwischenzeit haben Forscher eine andere Variante von Malware entdeckt, die möglicherweise zur Gefährdung des SolarWinds Orion-Build- und -Distributionssystems verwendet wurde. Der als Sunspot bezeichnete Schadcode wäre verwendet worden, um in die Infrastruktur des multinationalen Unternehmens einzudringen, lange bevor wir darüber nachdachten – Die ersten Manöver fanden um September 2019 statt.

“Dieser hochentwickelte und innovative Code wurde entwickelt, um schädlichen Sunburst-Code auf der SolarWinds Orion-Plattform bereitzustellen, ohne dass unsere Softwareentwicklungsteams Verdacht erregen”, erklärte Sudhakar Ramakrishna, neuer CEO von SolarWinds. Die Entdeckung von Sunspot war nur dank einer Zusammenarbeit mit dem Expertenteam von CrowdStrike möglich.

Sobald Sie den Zielcomputer infiziert haben, Malware gewährt sich Server-Debugging-Berechtigungen, missbraucht den Build-Workflow und tauscht legitimen Code gegen bösartigen Code aus, wodurch die Sunburst-Hintertür auf der Orion-Plattform eingerichtet wird. “Sunspot überwacht die laufenden Prozesse der am Kompilieren von Orion Beteiligten und ersetzt eine der Quelldateien durch den Sunburst-Backdoor-Code”, erklärt das Team.

Sudhakar Ramakrishna, neuer CEO von SolarWinds (Reproduktion / ChannelE2E)

Dies bedeutet, dass Sunspot ausschließlich für diesen Zweck entwickelt wurde und Ende 2019 getestet wurde, damit böswillige Agenten ihre Fähigkeit testen können, SolarWinds-Kunden durch die Hintertür zu infiltrieren.

US-Regierung gibt Investitionen bekannt

Als eines der wichtigsten von dem Manöver betroffenen Unternehmen scheint die US-Regierung durch den Vorfall bis zu dem Punkt traumatisiert genug gewesen zu sein, dass kündigen neue Investitionen in die Cybersicherheit im öffentlichen Raum an. Der Demokrat Joe Biden, der kurz davor stand, als neuer Präsident des Landes vereidigt zu werden, versprach während einer Ankündigung in der vergangenen Woche, die Cybersicherheit zu einer Priorität in seiner Verwaltung zu machen.

Dies beinhaltet ein Budget von 10 Milliarden US-Dollar für Ausgaben in der Region, innerhalb dessen Zuschuss in Höhe von 690 Mio. USD für die Agentur für Infrastruktursicherheit und Cybersicherheit (CISA) zur Optimierung ihrer Fähigkeit, Vorfälle zu identifizieren und darauf zu reagieren.

“Ich bin dankbar, dass der gewählte Präsident nach der SolarWinds-Invasion auf größere Investitionen in die Cybersicherheit drängt, was die Notwendigkeit unterstreicht, jetzt zu handeln, um die Amerikaner und unsere Interessen im Cyberspace zu schützen”, feierte der Kongressabgeordnete Jim Langevin.


Quelle: CSO Online, CISO-Berater, Dunkles Lesen

See the original post at: https://thehack.com.br/novo-malware-novas-vitimas-novos-investimentos-atualizacoes-do-caso-solarwinds/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.