Microsoft: Mehr als 1000 Entwickler an SolarWinds-Hack beteiligt

Microsoft geht davon aus, dass an der Entwicklung des Angriffs auf Solarwinds und dessen Kunden mindestens 1000 Personen beteiligt waren. Die Schätzung beruht auf der Zahl der eigenen Mitarbeiter, die der Softwarekonzern alleine für die Untersuchung des Angriffs auf die eigenen Systeme abgestellt hat.

Im Dezember war bekannt geworden, dass Hacker ein System des Softwareanbieters SolarWinds geknackt und dessen Netzwerk-Management-Software Orion mit einer Sunburst genannten Schadsoftware infiziert hatten. Bis zu 18.000 Kunden des Unternehmens, darunter auch Behörden und Regierungseinrichtungen, schleusten daraufhin die Malware unwissend mit Updates für Orion-Software in ihre eigenen Systeme ein.

Bei Microsoft beschäftigten sich daraufhin laut President Brad Smith rund 500 Mitarbeiter mit dem Hackerangriff. “Als wir alles analysiert haben, was wir bei Microsoft gesehen haben, haben wir uns gefragt, wie viele Ingenieure wohl an diesen Angriffen gearbeitet haben. Und die Antwort, zu der wir kamen, war, na ja, sicherlich mehr als 1.000”, sagte Smith im Gespräch mit CBSNews. Die Angreifer hätten allerdings nur 4032 Zeilen des Orion-Quellcodes, der aus mehreren Millionen Zeilen bestehe, neu geschrieben.

Zu den Opfer des SolarWinds-Hacks gehören unter anderem die US-Cybersicherheitsbehörde CISA sowie die US-Ministerien für Heimatschutz, Finanzen, Energie und des Inneren. Microsoft entdeckte zudem bei seinen Ermittlungen unter seinen Kunden weitere 40 Betroffene. Ans Licht kam die Angriffswelle, nachdem der Sicherheitsanbieter FireEye einen Einbruch in seine Systeme einräumte. Dabei fiel den Tätern, die angeblich aus Russland stammen, ein von FireEye selbst entwickeltes Werkzeug für Penetrationstests in die Hände.

Auch FireEye gab zuletzt weitere Details zu dem Vorfall bekannt. Demnach war es den Angreifern gelungen, ein zweites Smartphone einem Konto eines FireEye-Mitarbeiters zuzuordnen, um die Zweifaktor-Authentifizierung auszuhebeln – eine Anmeldung in zwei Schritten schreibt FireEye unter anderem für Zugriffe auf das Firmennetzwerk per VPN vor. Allerdings sei die Anmeldung mit dem zweiten Gerät einem Mitarbeiter der IT-Security aufgefallen, da üblicherweise keine zwei Geräte mit einem Konto verknüpft seien.

Das zweite Smartphone konnten die Hacker einrichten, da sie zuvor über die manipulierte SolarWinds-Software die Anmeldedaten des Mitarbeiters ausgespäht hatten. Der bestätigte jedoch auf Nachfrage der IT-Security, dass das zweite Gerät nicht sein Smartphone sei.

Laut einem Bericht des Wall Street Journal war die SolarWinds-Software jedoch nicht bei allen Opfern das Einfallstor für die Hacker. Rund 30 Prozent der Opfer hätten keine direkte Beziehung zu SolarWinds gehabt und seien stattdessen über Cloud-Anwendungen gehackt worden.