‘Hackers SolarWinds nog steeds actief’

RGB-toetsenbord dat verlicht is

Nobelium, de hackersgroep die verantwoordelijk is voor de cyberaanval op SolarWinds eind vorig jaar, is nog altijd actief. Zij zouden hun zinnen gezet hebben op technologiebedrijven en -partners die zich met cloudcomputing bezighouden. Sinds afgelopen mei hebben ze meer dan 140 partijen aangevallen, waarbij minimaal 14 slachtoffers zijn gevallen.

Dat blijkt uit onderzoek van Microsoft.

Aanloop naar de ketenaanval op SolarWinds

Voor het begin van deze zaak moeten we terug naar december 2020. Cybersecuritybedrijf FireEye zei toen dat hackers erin geslaagd waren om allerlei scripts, scanners en tools te stelen. Deze konden gebruikt worden om cyberaanvallen op nietsvermoedende slachtoffers uit te voeren. De hackers van Nobelium drongen het bedrijfsnetwerk van SolarWinds binnen. Ze maakten vervolgens misbruik van een kwetsbaarheid in Orion Network Management Tools. Klanten van SolarWinds gebruiken deze software om bedrijfsnetwerken, databases, servers en webapplicaties op afstand te monitoren en onderhouden.

De hackers brachten een zogeheten backdoor aan in de software van SolarWinds. Deze geheime ingang werd ook wel Sunburst genoemd. Langs deze weg vielen de hackers van Nobelium klanten van SolarWinds aan. Deze werkwijze noemen we ook wel een supply chain attack of ketenaanval.

Het precieze aantal slachtoffers is nog altijd onbekend. Aanvankelijk suggereerde men dat er in totaal 18.000 gedupeerden waren, waaronder de Amerikaanse ministeries van Financiën, Binnenlandse Zaken, Binnenlandse Veiligheid, Economische Zaken, Justitie en Defensie. Al snel werd dat aantal naar beneden bijgesteld naar ruim 250 bedrijven en organisaties. Volgens SolarWinds zijn er door de supply chain attack minder dan honderd slachtoffers gevallen.

Nobelium richt zijn peilen op bedrijven in de cloudcomputing

Cybersecurityexperts gaan ervan uit dat Nobelium verantwoordelijk is voor de cyberaanval op SolarWinds. De Russische geheime dienst zou het hackerscollectief opdracht hebben gegeven om de Amerikaanse ICT-dienstverlener aan te vallen. Rusland heeft de aantijgingen altijd ontkend. De Russische minister van Buitenlandse Zaken Sergej Lavrov deed de beschuldigingen af als ‘een ongegronde poging van de Amerikaanse media om Rusland de schuld in de schoenen te schuiven’.

De aanval op SolarWinds is weliswaar afgeslagen, maar de hackers die de aanval hebben uitgevoerd zijn nog altijd actief. Uit onderzoek van Microsoft blijkt dat ze nieuwe slachtoffers hebben proberen te maken. Volgens het Amerikaanse hard- en softwarebedrijf hebben de aanvallers het ditmaal voorzien op bedrijven en organisaties die zich bezighouden met cloudcomputing. Dat zijn leveranciers die producten als servers, databases en software leveren om data via internet op te slaan in de cloud.

Klein aantal slachtoffers door optreden Microsoft

“Wij denken dat Nobelium uiteindelijk hoopt mee te liften op de directe toegang die verkopers hebben tot de IT-systemen van hun klanten en zich gemakkelijker voor te doen als de vertrouwde technologiepartner van een organisatie om toegang te krijgen tot hun downstreamklanten”, zo schrijft Tom Burt, vicepresident van de afdeling Customer Security & Trust bij Microsoft, in een securityblog.

Volgens Burt hebben de leden van Nobelium tussen mei en oktober meer dan 140 techbedrijven aangevallen die actief zijn in cloudcomputing. Daarbij zijn minimaal 14 slachtoffers gevallen, mogelijk zelfs meer. “Gelukkig hebben wij deze campagne al in een vroeg stadium ontdekt, en wij delen deze ontwikkelingen om cloud service resellers, technologieleveranciers en hun klanten te helpen tijdig stappen te ondernemen om ervoor te zorgen dat Nobelium niet nog succesvoller wordt”, aldus de Microsoft-topman.

Burt zegt dat Microsoft tussen 1 juli en 19 oktober in totaal 609 klanten heeft gewaarschuwd. In drie-en-een-halve maand tijd zijn zij 22.868 keer aangevallen door Nobelium. Dat is meer dan het aantal waarschuwingen dat Microsoft in de afgelopen drie jaar uitdeelde: in deze periode kwam de teller uit op 20.500. Het slagingspercentage lag echter ‘in de enkele cijfers’.

Hackers gebruiken nieuwe strategieën

Microsoft benadrukt dat de leden van Nobelium ditmaal andere strategieën hebben gebruikt om door te dringen tot de bedrijfsnetwerken van hun slachtoffers. Bij SolarWinds maakten ze gebruik van exploits en andere kwetsbaarheden in de software. De afgelopen maanden vertrouwden ze op technieken die we allemaal kennen, zoals phishing en password spraying.

Bij password spraying probeert een hacker een account over te nemen door veelgebruikte wachtwoorden in te voeren. Om ervoor te zorgen dat hij niet wordt betrapt, probeert hij hetzelfde wachtwoord bij meerdere accounts. Als blijkt dat dit wachtwoord bij geen enkele account werkt, dan gaat de aanvaller over op een tweede wachtwoord. Werkt ook dit niet, dan volgt een derde wachtwoord, enzovoorts, totdat er een match is. Door op deze manier te werk te gaan, voorkomt de dader dat een account wordt geblokkeerd en hij niet wordt opgemerkt.

Volgens Microsoft moeten overheden in Europa en de Verenigde Staten nauwer samenwerken om kennis uit te wisselen en herhaling in de toekomst te voorkomen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen