Solarwinds-Hack: Erst der Anfang?

Schutz vor Cyberangriffen – ProtokolleWeitere Analysen der Angriffe, über das infizierte Update der Firma SolarWinds, zeigen neue Angriffsflächen. “Sunburst” und “Teardrop” , “Sunspot” und “Raindrop” – zumindest bei den Namen sind die “Finder” recht kreativ. Offensichtlich reagieren die Hacker auf die Tatsache, dass der Angriff entdeckt wurde und versuchen sich neue Türen zu öffnen bzw. bestehende Zugänge offen zu halten. Das wird ganz sicher sehr vorsichtig und behutsam geschehen, weil seitens der Verteidiger der IT-Systeme die Aufmerksamkeit geweckt wurde.
Der wichtigste Unterschied laut Symantec: Während Teardrop jeweils auf den Computern verwendet wurde, auf denen zuvor Sunburst installiert worden war, diente Raindrop offenbar vor allem dazu, die Payload auf anderen Systemen im Netzwerk zu installieren und somit die Reichweite der Angreifer auszudehnen. (https://www.heise.de/news/Sunspot-und-Raindrop-Weitere-Malware-der-SolarWinds-Angriffskette-entdeckt-5030754.html)
Es ist nun sehr wichtig, dass die Unternehmen sich nicht auf das betroffene Solarwinds Produkt konzentrieren. Niemand kann sagen, ob es daneben nicht schon längst andere, infizierte Systeme gibt. Man sollte nicht vergessen, dass der Angriff schon vor langer Zeit begonnen hat und noch immer besteht keine Transparenz darüber, welche Unternehmen erfolgreich angegriffen oder zumindest infiziert wurden. Denkbar wäre natürlich auch, dass man den aktuellen Fokus auf einen bestimmten Angriff nutzt, um bereits an anderen Zugriffswegen zu arbeiten. Wir suchen nach der “Nadel im Heuhaufen”. Ein Weg wäre, einmalig den kompletten Traffic mit dem Internet für einen machbaren Zeitraum zu kummulieren. Dabei nehme ich die verfügbaren Protokolle und verdichte diese, um auffällige Zugriffe zu finden. Wie ich dabei vorgehe, beschreibe ich in einem weiteren Beitrag.