Mitte Dezember wurde ein hoch komplexer Supply-Chain-Angriff bekannt, der mittels der unbekannten Malware "Sunburst" gegen Kunden von SolarWinds Orion durchgeführt wurde. Während die Analysen dieses Angriffs noch andauern, sind etwa 18.000 betroffene Nutzer bestätigt. Die ICS-CERT-Experten von Kaspersky haben interne und öffentlich verfügbare Informationen analysiert und konnten so definieren, welche Branchen am stärksten von der Attacke betroffen sind.

18,11 Prozent stammen aus dem produzierenden Gewerbe

3,24 Prozent sind Versorgungsunternehmen

3,03 Prozent sind im Baugewerbe tätig

2,97 Prozent gehören zu Transport und Logistik

1,35 Prozent betreffen die Öl- und Gasindustrie

Durch Analyse aller verfügbaren decodierten internen Domainnamen, die aus DNS-Namen stammen, die mit dem Sunburst DomainName Generation Algorithm generiert wurden, konnte Kaspersky Labs [1] eine Liste von etwa 2000 lesbaren und zuordenbaren Domains erstellen. Etwa ein Drittel (32,4 Prozent) der Angriffe richtete sich dabei gegen Industrieunternehmen. Dabei waren die Branchen wie folgt betroffen:Maria Garnaeva, Sicherheitsforscherin bei Kaspersky, zur Analyse: "Die SolarWinds-Software ist in vielen Systemen in verschiedenen Branchen weltweit stark integriert. Infolgedessen ist das Ausmaß der Sunburst-Attacke beispiellos. Viele betroffene Unternehmen waren anfangs möglicherweise nicht einmal für die Angreifer von Interesse. Wir haben zwar keine Hinweise auf einen Angriff der zweiten Stufe unter diesen Opfern gefunden, sollten jedoch die Möglichkeit nicht ausschließen, dass dies zukünftig geschehen kann. Für Organisationen ist es daher von entscheidender Bedeutung, eine Infektion auszuschließen und sicherzustellen, dass sie über die richtigen Maßnahmen zur Vorfallreaktion verfügen."Unternehmen sollten überprüfen, ob sie SolarWinds-Versionen mit der Backdoor installiert haben. Zu den betroffenen Versionen gehören Software-Builds 2019.4 HF 5, 2020.2 HF1 sowie 2020.2, für die noch kein Hotfix installiert ist [2]. Darüber hinaus sollte nach Indicators of Compromise (IOCs) gesucht werden. CISA hat dazu Alert AA20-35A mit einer umfangreichen Liste veröffentlicht [3]. Wird eine SolarWinds-Installation oder verwandte IOCs entdeckt, sollte umgehend eine Sicherheitsuntersuchung gestartet, Maßnahmen der Vorfallreaktion ergriffen sowie alle möglichen Angriffsvektoren berücksichtigt werden.