Connect with us

Deutsch

SolarWinds-Hacker Nobelium greifen erneut globale IT-Lieferketten an, warnt Microsoft

Published

on

Microsoft hat gewarnt, dass Nobelium, die Hackergruppe hinter dem SolarWinds-Fiasko, mindestens 140 Wiederverkäufer und Technologiedienstleister in globalen IT-Lieferketten ins Visier genommen hat.

Am 24. Oktober sagte Tom Burt, Microsoft Corporate Vice President of Customer Security & Trust, in einem Advisory, dass die Advanced Persistent Threat (APT)-Gruppe russischen Ursprungs sich nun an Software- und Cloud-Service-Reseller wendet, um „jedes Huckepack“ zu haben direkten Zugriff, den Wiederverkäufer möglicherweise auf die IT-Systeme ihrer Kunden haben.”

Der Redmonder Gigant sagt, dass die neueste Kampagne von Nobelium im Mai dieses Jahres gesichtet wurde und nicht weniger als 140 Unternehmen ins Visier genommen wurden, mit 14 bestätigten Fällen von Kompromissen.

Nobelium war für den SolarWinds-Verstoß verantwortlich, der im Dezember 2020 von Microsoft und FireEye (jetzt bekannt als Mandiant) bekannt gegeben wurde.

SolarWinds-Systeme wurden verletzt und ein Update für die Orion-Software wurde vergiftet und später an etwa 18.000 Kunden bereitgestellt.

Die APT wählte dann eine kleine Anzahl hochkarätiger Ziele aus, um sie auszunutzen, darunter Microsoft, FireEye, das Department of Homeland Security (DHS), die Cybersecurity and Infrastructure Agency (CISA) und das US-Finanzministerium.

Nachdem das bösartige Update über die legitimen Kanäle von SolarWind verbreitet wurde, wurde Malware auf diesen Systemen installiert, einschließlich der Sunburst/Solorigate-Hintertür.

Microsoft schätzt, dass die Leistung von bis zu 1.000 Ingenieuren gekostet haben könnte. Allerdings scheint die jüngste Angriffswelle keine spezifischen Schwachstellen oder Sicherheitslücken auszunutzen; Stattdessen verlässt sich die Gruppe auf Spray-and-Pray-Anmeldeinformationen, Phishing, API-Missbrauch und Token-Diebstahl, um Zugangsdaten und privilegierten Zugriff auf die Systeme der Opfer zu erhalten.

Die neue Kampagne ist Teil der umfassenderen Aktivitäten der russischen Bedrohungsakteure. Zwischen dem 1. Juli und dem 19. Oktober hat Microsoft 609 Kunden vor 22.868 Hacking-Versuchen gewarnt, obwohl das Unternehmen angibt, dass der Erfolg im “niedrigen einstelligen Bereich” liegt.

Vor dem 1. Juli warnte Microsoft seine Kunden insgesamt 20.500 Mal über Hackerangriffe auf nationalstaatlicher Ebene, einschließlich einer früheren Phishing-Kampagne von Nobelium, die sich als USAID ausgab.

„Diese jüngste Aktivität ist ein weiterer Indikator dafür, dass Russland versucht, einen langfristigen und systematischen Zugang zu einer Vielzahl von Punkten in der Technologielieferkette zu erlangen und [to] einen Mechanismus zur Überwachung von Zielen, die für die russische Regierung von Interesse sind, einzurichten – jetzt oder in Zukunft“, kommentierte Microsoft , Technologieanbieter und ihre Kunden unternehmen rechtzeitig Schritte, um sicherzustellen, dass Nobelium nicht erfolgreicher ist.”

Microsoft hat alle betroffenen Anbieter informiert und auch technische Leitlinien veröffentlicht, in denen beschrieben wird, wie Nobelium versucht, sich seitlich über Netzwerke zu bewegen, um nachgelagerte Kunden zu erreichen.

In einer Erklärung sagte Mandiant SVP und CTO Charles Carmakal, das Unternehmen habe mehrere Fälle mutmaßlicher russischer Cyberangriffe untersucht, bei denen Lieferkettenbeziehungen zwischen Technologieanbietern und Kunden ausgenutzt wurden.

„Während der Angriff auf die Lieferkette von SolarWinds bösartigen Code in legitime Software einschloß, betrafen die meisten dieser jüngsten Angriffsaktivitäten die Nutzung gestohlener Identitäten und die Netzwerke von Technologielösungen, Dienstleistungen und Wiederverkäufern in Nordamerika und Europa, um letztendlich auf die Umgebungen von Unternehmen zuzugreifen die von der russischen Regierung ins Visier genommen werden”, kommentierte Carmakal.

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.