News
Solarwinds-Hack: Forscher finden Hinweise auf russische Hackergruppe

Experten von Kaspersky haben Parallelen zwischen Sunburst, dem Schadprogramm, das beim Solarwinds-Hack genutzt wurde, und einer anderen Backdoor namens Kazuar gefunden. Kazuar wurde 2017 entdeckt und mit der russichen Hackergruppe Turla in Verbindung gebracht.
Das legt nahe, dass die gleiche Gruppe auch hinter dem Solarwinds-Hack steckt. Turla arbeitet mutmaßlich für den russischen Sicherheitsdienst FSB.
Beide Programme nutzen die gleiche Methode, um zufällige zeitliche Abstände zwischen einzelnen Verbindungen mit dem Command-and-Control-Server zu berechnen. Das macht die Aktivität der Schadsoftware unauffälliger.
Sie generieren außerdem über ähnliche Algorithmen eindeutige Identifikatoren für die Opfer. Sowohl Kazuar als auch Sunburst nutzen darüber hinaus den FNV-1a-Hashing-Algorithmus, was allerdings kein Alleinstellungsmerkmal dieser beiden Programme ist.
Die Forscher schreiben aber, dass andere Experten diesen Hinweisen nachgehen und die Ergebnisse überprüfen sollten, um sicherzugehen. Zum jetzigen Zeitpunkt könne man nicht sagen, dass hinter Sunburst und Kazuar genau dieselbe Gruppe steckt.
Eine andere Möglichkeit sei, dass eine einzelne Person an der Entwicklung beider Programme beteiligt war oder beide Hackergruppen dieselben Quellen nutzen. Die Ähnlichkeiten könnten auch bewusst erzeugt werden, um eine falsche Fährte zu legen.
Es war bereits vermutet worden, dass es sich bei dem Hack um eine Spionage-Aktion handelt, weil es offenbar weniger um die Zerstörung von Infrastruktur und mehr um das Abgreifen von Kommunikation ging. Das legt eine politische Motivation nahe.
Die US-Amerikanische Polizeibehörde FBI und der Abhördienst NSA hatten in einem gemeinsamen Statement konkret russische Hacker beschuldigt. Die Analyse von Kaspersky liefert aber zum ersten Mal handfeste Argumente für diese Theorie.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team