Solarwinds -> China?

Noch sind es nur Hinweise, aber ein Artikel bei „The Hackers News“ stellt eine Verbindung zwischen dem Solarwinds Hack und China her.

Nun hat das schon etwas vom „Küchentratsch“, weil es für mich zunächst nur Informationen sind, die ich selbst nicht so einfach nachprüfen kann.

Was in dem Artikel berichtet wird, erscheint aber zumindest plausibel.

Zur Erinnerung – beim Solarwinds Hack kamen verschiedene Angriffe zum Einsatz. „Sunburst“ und „Supernova“ hat man die genannt.

„Sunburst“ wurde Russland zugeordnet. Bei „Supernova“ wurden nun Spuren in Form einer Netzwerkadresse gefunden, die nach China gehen.

Die Hacker-Gruppe nennt man „Spiral“.

Weiter ist natürlich unklar wie alle Räder ineinander greifen. Denkbar ist aber schon, dass Informationen aus dem Solarwinds Hack für die laufenden Exchange Angriffe verwertet wurden, der ja aus China kommt.

Klar sollte sein, dass wir auch beim Exchange Hack erst am Anfang stehen!

Es ist mit weiteren Wellen von Angrifen zu rechnen, wenn die Hacker die gewonnenen Informationen und Hintertüren ausgewertet haben.

Gestern wollte ich z.B. einen Zugang zu „Shodan“ reaktivieren, einer Suchmaschine für „Server im Internet“.

Dazu verwende ich nicht meine richtige E-Mail sondern eine von mehreren, speziell dafür eingerichteten Zugängen.
Dieser war bei hotmail.com.

Aufmerksam wurde ich, weil dort eine aktuelle Mail von 15:52 Uhr zu finden war, die sich direkt auf eine darunter befindliche Mail bezog.

Am 22.11.2020 hatte ich bei einem anderen Anbieter das Konto zurückgesetzt.

Wieso hat nun ausgerechnet gestern jemand (also ich war es definitiv nicht) genau für das gleiche Konto ein „Password-Reset“ in Auftrag gegeben?

Könnte es sein, dass Fremde einen Zugang zu diesem Hotmail Konto haben und sich nun genau diese Mail vorgenommen haben um damit das Kennwort zu ändern?

Das wäre ein Hinweis darauf, dass es auch Sicherheitsprobleme bei diesem Hotmail Konto gibt, welches im Kontext der laufenden Angriffe auf Exchange Server für mich einen große Bedeutung bekommt.

Nun gut – ich werde jetzt mein „Incident Response Team“ aktivieren und geeignete Massnahmen ergreifen.

Es soll ja auch etwas bringen, wenn ich mich in dieser Woche permanent in einer Weiterbildung zum „Information Security Officer“ befinde.

Ich hoffe nur, dass nicht am Ende doch ganz viele Mail Konten in der Cloud angegriffen wurden oder noch angegriffen werden.

Bei dem hohen Marktanteil von Microsoft in diesem Bereich käme das einer weiteren, viel größeren Katastrophe gleich.