Solarwinds: Einbrecher verscherbeln Windows-Quellcode und FireEye-Angriffs-Tools

Für insgesamt 1 Million US-Dollar bietet SolarLeaks Zugang zu gestohlenen Datenschätzen. Die Echtheit ist allerdings bislang unbewiesen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 52 Beiträge

(Bild: NASA)

Von
  • Jürgen Schmidt

Über eine Hintertür in der Netzwerk-Management-Software SolarWinds Orion brachen Kriminelle bei Firmen wie FireEye, Microsoft und vielen US-amerikanischen Behörden ein. Jetzt verscherbeln sie angeblich auf einer Website namens SolarLeaks ihre Beute: 600.000 US-Dollar für Windows-Quellcode, 500.000 für Quellcode von Cisco-Produkten; und die handgefertigten Angriffs-Tools der Security-Firma Fireeye offeriert die Webseite zum Schnäppchenpreis von 50.000 US-Dollar.

Die Seite bemüht sich zwar um einen authentischen äußeren Eindruck. So wartet sie etwa mit einer validen digitalen PGP-Signatur auf; die lässt jedoch keine Rückschlüsse auf den Urheber zu. Beweise zur Echtheit der Daten liefern die Urheber der Seite ebenfalls nicht. Die präsentierten Fakten hätte jede(r) den Medien entnehmen können. Somit könnte das ganze genauso gut eine Fälschung sein.

Ob die Angebote echt sind, ist bislang zweifelhaft; die Links sind jedenfalls bereits tot.

Aus dem Verkauf der Datenpakete wird wohl vorerst auch nichts. Die Download-Links der verschlüsselten Download-Pakete hat der Hoster Mega bereits blockiert. Und der für die Kommunikation mit den Erpressern angegebene ProtonMail-Account wurde angeblich auch schon gesperrt.

Als Urheber der SolwarWinds-Einbruchs und der nachfolgenden Einbrüche bei amerikanischen Konzernen und Behörden beschuldigen FBI, CISA und die NSA in einem gemeinsamen Statement eine Advanced-Persistent-Threat-Gruppierung (APT) mit "wahrscheinlich russischem Ursprung". Allgemein werden die Vorfälle als staatlich organisierte Spionage-Aktivitäten eingeordnet.

Ein Spionage-Hintergrund der Einbrüche mag auf den ersten Blick nicht ganz zu dem aktuellen Angeboten passen, das eher an das Vorgehen herkömmlicher Cybercrime-Banden erinnert. Doch das ist nicht so außergewöhnlich. So gelang es vermutlich etwa 2016 einer APT-Gruppe, der NSA ihre Kronjuwelen in Form von hochspezialisierten Angriffs-Tools zu stehlen. Einige Zeit später boten die dubiosen Shadow Broker dann unter anderem diese NSA-internen Einbruchswerkzeuge zum Kauf an.

Die Shadow Broker veröffentlichten übrigens später insbesondere den NSA-Exploit EternalBlue, mit dessen Hilfe die Schädlinge WannaCry und NotPetya Milliardenschäden verursachten. Mal sehen, was nächste Woche passiert. Da versprechen die Urheber der SolarLeaks-Seite mehr Informationen zu liefern.

Zu den Cyber-Attacken via SolarWinds:

(ju)