Ook lokale overheden getroffen door hack bij SolarWinds

Logo van IT-bedrijf SolarWinds op een filiaal in Tsjechië

Niet alleen diverse Amerikaanse ministeries zijn getroffen door de hack bij IT-bedrijf SolarWinds. Ook enkele staten, lokale overheden en bedrijven die actief zijn in de kritieke infrastructuur zijn de dupe geworden van de aanval. Een speciale groep is in het leven geroepen om een tegenreactie te coördineren.

Dat schrijft het Cybersecurity and Infrastructure Security Agency (CISA) in een bericht over de laatste stand van zaken over de cyberaanval bij SolarWinds.

Ministeries waren het slachtoffer van een geavanceerde cyberaanval

Afgelopen week waren diverse Amerikaanse ministeries het slachtoffer van een zogeheten advanced persistent threat (APT). Voor zover officieel bekend is gemaakt, zijn het departement van Financiën, Binnenlandse Zaken, Binnenlandse Veiligheid, Economische Zaken en Defensie hierdoor getroffen. De hackers wisten de ministeries binnen te dringen door een kwetsbaarheid in de software van Orion Network Management Tools, een product van IT-bedrijf SolarWinds.

De precieze omvang en schade van de aanval zijn nog altijd niet bekend. Wel weten we dat de hackers door de kwetsbaarheid een zogenoemde backdoor wisten te creëren. Via deze verborgen achterdeur hadden de daders op ieder moment toegang tot de netwerken van de ministeries. Vervolgens wisten de aanvallers via zwakheden in software van onder meer Microsoft en VMware de e-mailaccounts van tientallen medewerkers binnen te dringen.

Omvang cyberaanval groter dan gedacht

Microsoft vermoedde vorige week dat minimaal veertig bedrijven en organisaties waren getroffen door de hackaanval bij SolarWinds. Uit een updatebericht van CISA blijkt dat de omvang een stuk groter is dan aanvankelijk gedacht. Daarin schrijft het cybersecurityagentschap dat netwerken van “federale, statelijke en lokale overheden, alsook entiteiten uit de kritieke infrastructuur en bedrijven uit de private sector” het slachtoffer zijn van de hack. Het agentschap noemt geen specifieke overheidsinstanties en bedrijven.

In het bericht doet CISA geen mededelingen over de mogelijke daders. Het enige dat het agentschap kwijt wil is dat de daders “de middelen, het geduld en de expertise” bezaten om toegang te verschaffen tot zeer gevoelige informatie. Als beveiligingsspecialisten minder alert waren geweest en niet adequaat hadden opgetreden, was de schade vele malen groter geweest.

De minister van Buitenlandse Zaken Mike Pompeo en minister van Justitie William Barr zeiden eerder deze week dat Rusland achter de aanval zit. President Trump meent dat China verantwoordelijk is voor het incident. Andere beveiligingsexperts menen dat het nog te vroeg is om de vinger te wijzen naar de mogelijke dader.

Taskforce coördineert overheidsreactie op aanval

Verder meldt CISA dat het agentschap samen met de Federal Bureau of Investigation (FBI) en het Officie of the Director of Nationale Intelligence (ODNI) een taskforce heeft opgericht. Deze groep, ook wel bekend als de Cyber Unified Coordination Group (UCG), heeft als hoofdtaak om een overheidsreactie op de aanval te coördineren. Meer details over de stuurgroep ontbreken op dit moment.

Tot slot onderhoudt CISA contact met overheidsinstanties en andere organisaties die last ondervinden van de aanval. Het agentschap levert technische kennis en ondersteuning en stelt financiële middelen en informatie beschikbaar om deze partijen te helpen er weer zo snel mogelijk bovenop te komen.

Biden: ‘Cybersecurity geen prioriteit voor Trump’

Deze week hield president-elect Joe Biden een toespraak over het belang van cybersecurity. Volgens de aanstaande president was cybersecurity geen prioriteit voor de huidige president, Donald Trump. Volgens Biden nam Trump de cyberaanval niet serieus en weigerde hij hardop te zeggen dat Russische staatshackers verantwoordelijk waren. Biden beloofde cyberdreigingen wel serieus te nemen en de aanvallers met gelijke munt terug te betalen.

Biden verzocht de huidige president om zijn resterende weken in het Witte Huis te gebruiken om te communiceren met zijn team over de impact van en de reactie op de Russische aanval. Alleen zo kan een soepele overgang plaatsvinden als Biden in januari het stokje overneemt van Trump.

Update (2 januari 2021): het aantal slachtoffers dat de dupe is geworden door de malafide update van Orion Network Management Tools van SolarWinds, is nog groter dan gedacht. Aanvankelijk dachten Microsoft en Amazon dat hackers bij enkele tientallen bedrijven het bedrijfsnetwerk waren binnengedrongen. Dat is verre van het geval, zo blijkt nu.

Volgens The New York Times, dat gesprekken heeft gevoerd met diverse onderzoekers die zich met deze zaak bezighouden, zijn zeker 250 bedrijven en overheidsinstanties getroffen door de kwaadaardige update. De krant schrijft dat SolarWinds een reputatie heeft dat het flink heeft bezuinigd op de uitgaven voor security updates om zo de winstmarges te verhogen. Zodoende was SolarWinds een makkelijk doelwit voor de aanvallers. Tevens zou het bedrijf de ontwikkeling van de software uitbesteed hebben aan Oost-Europese landen, waar Rusland een stevige vinger in de pap heeft. Onderzoekers vermoeden dat de intrusion of indringing daar heeft plaatsgevonden.

Het is nog altijd onduidelijk wat de hackers met de aanval probeerden te bereiken. Hoewel Rusland iedere betrokkenheid ontkent, vermoeden securityexperts dat president Poetin wel degelijk de opdracht heeft gegeven voor de aanval. Volgens president Trump zit China achter de aanval. De aanstaande president Joe Biden heeft toegezegd de daders met gelijke munt terug te betalen.

Update (17 februari 2021): Anne Neuberger, een hooggeplaatste medewerker van de nationale veiligheidsraad die het Witte Huis adviseert over aangelegenheden omtrent de nationale veiligheid, zegt tegenover persbureau Reuters dat negen federale overheidsinstanties en honderd bedrijven in de private sector getroffen zijn door de supply chain attack op SolarWinds.

Het doel van de hackers was hoogstwaarschijnlijk om zoveel mogelijk informatie te verzamelen. De voorbereiding voor de aanval nam maanden in beslag, zo stelt Neuberger. Ze verwacht dat het nog een poos gaat duren om de aanval van top tot teen te analyseren. Het gerucht gaat dat Rusland achter de aanval zit. Bewijs daarvoor ontbreekt tot op de dag van vandaag.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen