In dieser Folge dreht sich alles um Sunspot — die bislang wenig beachtete Malware, die das Build‑System von SolarWinds heimlich infiltrierte und damit den Weg für die berüchtigte Sunburst‑Schadsoftware ebnete. Die Folge: Vermutlich einer der heikelsten Datenabflüsse aus US-Regierungsinstitutionen überhaupt. Während Sunburst häufig als das eigentliche „Böse“ im Fokus steht, zeigen wir, wie Sunspot zunächst das Build-System der Orion‑Plattform manipulierte und dort unbemerkt Code einschleuste. Wir gehen darauf ein, warum die Verteilung von Sunspot so wichtig ist und beleuchten in guter Armchair-Investigators-Manier die Attribution. Begleitet uns auf einer Reise zu dem entscheidenden ersten Schritt des Angriffs, der einen der signifikantesten Supply-Chain-Angriffe erst möglich machte.
- Senate committee hears testimony on SolarWinds hack, PBS NewsHour
- Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor, FireEye (now part of Google Cloud), 13.12.2020
- SUNSPOT: An Implant in the Build Process, CrowdStrike, 11.01.2021
- 2020 United States federal government data breach, Wikipedia
- ARD Tagesschau 16.04.2021 20:00 Uhr, Reaktion auf neue Sanktionen, Russland weist US-Diplomaten aus
- Sunburst backdoor – code overlaps with Kazuar, Kaspersky Securelist, 11.01.2021
- MAR-10320115-1.v1 – TEARDROP, CISA Cybersecurity Advisory Analysis Report, 15.04.2021
- Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop, Microsoft, 20.01.2021
- SUNBURST Additional Technical Details, Mandiant (now part of Google Cloud), 24.12.2020
- An Investigative Update of the Cyberattack, SolarWinds, 07.05.2021