Anzeige
Anzeige
Anzeige
Beitrag drucken

Sunburst-Angriff

Cyberattacke auf SolarWinds

Nach dem Angriff mit der Malware Sunburst auf Kunden des IT-Anbieters SolarWinds sind auch viele Industrieunternehmen betroffen.

 (Bild: ©deepagopi2011/stock.adobe.com)

(Bild: ©deepagopi2011/stock.adobe.com)

Mitte Dezember wurde ein hoch komplexer Supply-Chain-Angriff bekannt, der mittels der bis dato unbekannten Malware ‘Sunburst‘ gegen Kunden des IT-Anbieters SolarWinds Orion durchgeführt wurde. Nach Angaben von Kaspersky Labs sind etwa 18.000 betroffene Nutzer bestätigt. Allerdings gibt es nur begrenzte Informationen darüber, welche Art von Organisationen die betroffenen SolarWinds-Versionen mit der Backdoor verwendet haben und wer Opfer des Angriffs geworden ist. ICS-CERT-Experten von Kaspersky haben daher interne und öffentlich verfügbare Informationen analysiert um zu definieren, welche Branchen am stärksten von der Attacke betroffen sind.

Ein Drittel der Angriffe richtet sich gegen Industrieunternehmen

Durch Analyse aller verfügbaren decodierten internen Domainnamen, die aus DNS-Namen stammen, die mit dem Sunburst DomainName Generation Algorithm generiert wurden, konnten die Kaspersky-Experten eine Liste von etwa 2.000 Domains erstellen. Etwa ein Drittel (32,4 Prozent) der Angriffe richtete sich dabei gegen Industrieunternehmen. Dabei waren die Branchen wie folgt betroffen:

  • 8,11 Prozent stammen aus dem produzierenden Gewerbe
  • 3,24 Prozent sind Versorgungsunternehmen
  • 3,03 Prozent sind im Baugewerbe tätig
  • 2,97 Prozent gehören zu Transport und Logistik
  • 1,35 Prozent betreffen die Öl- und Gasindustrie

Diese Daten korrelieren mit der Analyse der betroffenen Kaspersky-Kunden und den Branchen, zu denen sie gehören.

„Die SolarWinds-Software ist in vielen Systemen in verschiedenen Branchen weltweit stark integriert. Infolgedessen ist das Ausmaß der Sunburst-Attacke beispiellos“, so Maria Garnaeva, Sicherheitsforscherin bei Kaspersky. „Viele betroffene Unternehmen waren anfangs möglicherweise nicht einmal für die Angreifer von Interesse. Wir haben zwar keine Hinweise auf einen Angriff der zweiten Stufe unter diesen Opfern gefunden, sollten jedoch die Möglichkeit nicht ausschließen, dass dies zukünftig geschehen kann. Für Organisationen ist es daher von entscheidender Bedeutung, eine Infektion auszuschließen und sicherzustellen, dass sie über die richtigen Maßnahmen zur Vorfallreaktion verfügen.“

Sicherheitsempfehlungen

Der Security-Anbieter gibt Unternehmen folgende Sicherheitsempfehlungen an die Hand:

  • Unternehmen sollten überprüfen, ob SolarWinds-Versionen mit der Backdoor installiert sind. Zu den betroffenen Versionen gehören Software-Builds 2019.4 HF 5, 2020.2 HF1 sowie 2020.2, für die noch kein Hotfix installiert ist.
  • Darüber hinaus sollte nach Indicators of Compromise (IOCs) gesucht werden. CISA hat dazu Alert AA20-35A mit einer umfangreichen Liste veröffentlicht.
  • Wird eine SolarWinds-Installation oder verwandte IOCs entdeckt, sollte umgehend eine Sicherheitsuntersuchung gestartet, Maßnahmen der Vorfallreaktion ergriffen sowie alle möglichen Angriffsvektoren berücksichtigt werden. Dazu gehören:
  • Assets, von denen bekannt ist, dass sie gefährdet sind, sollten isoliert werden, während das System betriebsbereit gehalten wird.
  • Löschen von IOCs verhindern, die für die Untersuchung nützlich sein könnten.
  • Alle Netzwerkprotokolle auf verdächtige Netzwerkaktivitäten überprüfen.
  • Systemprotokolle und Journals auf unzulässige Nutzerkontenauthentifizierungen überprüfen.
  • Verdächtige Prozessaktivitäten ausfindig machen und Speicherabbilder sowie zugehörige Dateien untersuchen.
  • Command-line Data, die mit verdächtigen Aktivitäten verbunden sind, überprüfen.
  • Bei Verdacht auf eine SolarWinds-Kompromittierung erhalten betroffene Unternehmen unter ics-cert@kaspersky.com weitere Unterstützung und Beratung.


Das könnte Sie auch interessieren:

Die Strecke zur Industrie 4.0 bewältigen Anlagenbetreiber nicht im Sprint, sondern im Marathon. Reifegradmodelle helfen ihnen, die vielversprechenden Meilensteine anzusteuern. Wobei bereits die Visualisierung zahlreiche Ansätze zur Modernisierung bietet – in der Balance zwischen Funktionalität und Sicherheit.‣ weiterlesen

So gut die Förderanlagen von Kühne im Betrieb auch funktionierten - bei den internen Fertigungsabläufen war Luft nach oben. Eine weitreichende Digitalisierungskampagne sollte das ändern. Heute fertigt die Firma vom Auftragseingang bis zur Auslieferung in einem durchgängigen Prozess - was künftig Optimierungen auf einem ganz neuen Niveau erlaubt.‣ weiterlesen

Meba Sawing Solutions setzt bereits seit den 1980er Jahren auf ein ERP-System. Doch die Software zur Verwaltung der Maschinen und Montage-Arbeitsplätze war in die Jahre gekommen und vieles wurde händisch in Excel-Listen ausgewertet. 2020 entschloss sich das Unternehmen daher, auf die MES-Lösung von Proxia zu setzen.‣ weiterlesen

Mit Beatrix Martinez hat Dassault Systèmes eine neue Vice President Investor Relations. Sie tritt die Nachfolge von François-José Bordonado an, der im nächsten Jahr in den Ruhestand geht.‣ weiterlesen

Beim Anlagenbauer Mühlböck bildete der Produktkonfigurator das Herzstück der Auftragsbearbeitung. Mit der Einführung eines neuen ERP-Systems sollte dieser abgelöst werden. Eine Aufgabe, die sich als sehr komplex herausstellte. Nach langer Suche und einem gescheiterten Versuch stellte sich schließlich Asseco Solutions dieser Herausforderung.‣ weiterlesen

Die Zunahme von Remote Work und der damit gestiegene Bedarf nach sicheren, hybriden Arbeitsumgebungen stellt IT-Verantwortliche vor Herausforderungen: Denn die Cyberangriffe auf Unternehmen steigen seit der Pandemie an.‣ weiterlesen

Die Cyberkriminalität nimmt zu und Cybersecurity-Fachleute sind schwer zu finden, folglich wächst die Zahl der Arbeitsplätze im Bereich Cybersecurity jährlich um mehr als 30% (laut (ISC)2, 2021), und gut vorbereitete Studierende werden die ersten sein, die für die Top-Jobs der Branche infrage kommen. Daher werden akademische Programme, die sie darauf vorbereiten, sehr gefragt sein.‣ weiterlesen

Nozomi Networks Labs hat seinen neuesten OT/IoT Security Report veröffentlicht. Wie der Bericht zeigt, hatten Wiper-Malware, die Aktivitäten von IoT-Botnetzen und der Ukraine-Krieg im ersten Halbjahr 2022 entscheidenden Einfluss auf die Bedrohungslandschaft. Seit dem russischen Einmarsch in die Ukraine im Februar 2022 konnten die Forscher von Nozomi Networks Labs Aktivitäten verschiedenartiger Bedrohungsakteure beobachten. Dazu zählten Hacktivisten, von staatlichen Stellen vorangetriebene APTs und Cyberkriminelle.‣ weiterlesen

Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, maßgeblich um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Dass die Gefahrenlage angespannt ist, belegen Fakten: Laut BSI wurden 2021 rund 144Mio. neue Schadprogramme identifiziert.‣ weiterlesen

Der IT-Dienstleister Syntax hat mit Catherine Solazzo eine neue Marketing-Chefin. Sie soll u.a. die Nachfrage-Generierung des Unternehmens vorantreiben.‣ weiterlesen