Geopend hangslot op het keyboard van een laptop
© Velishchuk Yevhen/Shutterstock.com
Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI
Inhoudsopgave

Voormalige medewerkers van ICT-dienstverlener Kaseya waarschuwden hun leidinggevenden voor ernstige beveiligingslekken in de VSA-software. Daardoor kon REvil eerder deze maand een wereldwijde supply chain aanval uitvoeren, waarbij honderden slachtoffers vielen. Ondanks herhaaldelijke waarschuwingen tussen 2017 en 2020, besloot het bedrijf hier niets mee te doen.

Dat vertellen vijf oud-medewerkers tegen Bloomberg. Ze willen dat hun namen geheim blijven, omdat ze een non-disclosure agreement of NDA hebben getekend. Daarnaast willen ze niet dat hun arbeidscarrière in gevaar komt.

Verkoop was belangrijker dan onderhoud

Tot de meest in het oog springende problemen, behoorden volgens de oud-werknemers software met verouderde code, het gebruik van zwakke encryptie en wachtwoorden in de producten en servers van Kaseya en het niet naleven van elementaire cybersecuritymaatregelen zoals het patchen van software. Verder lag de nadruk op de verkoop van producten en diensten, waardoor beveiliging geen topprioriteit was.

Eén van de voormalige medewerkers zegt dat hij in 2019 een memo van veertig pagina’s schreef, waarin hij zijn zorgen uitte over de beveiliging van producten van Kaseya. Twee weken later stond hij ineens op straat. Hij vermoedt dat het door zijn rapport kwam.

Een andere werknemer zegt dat hij vrijwel nooit updates uitvoerde in de software en servers van Kaseya. Ook bewaarde hij wachtwoorden van klanten in een clear text bestand, wat betekent dat de wachtwoorden niet beveiligd waren. Samen met een collega vertelde hij dat de Virtual System Administrator software (VSA) verouderd was en geplaagd werd door problemen. In hun ogen moest de software vervangen worden.

Hackers voerden vaker aanvallen uit via software Kaseya

De oud-medewerkers schetsen het beeld dat er van alles mis was bij Kaseya op het vlak van cybersecurity. Ze vinden het dan ook niet vreemd dat hackers zonder al te veel problemen hun slag konden slaan. Bloomberg stelt dat vergelijkbare problemen zich ook voordeden bij grote techbedrijven nadat medewerkers aan de bel hadden getrokken, maar de leiding weigerde in te grijpen. Als voorbeeld noemt het persbureau de bitcoinscam bij Twitter, de ketenaanval op SolarWinds, toegang tot beveiligingscamera’s bij Verkada en de ransomware-aanval op JBS.

Uit frustratie dat nieuwe features en producten prioriteit kregen boven het herstellen van bestaande problemen, namen medewerkers in het verleden ontslag. Anderen werden ontslagen nadat Kaseya hun werk had uitbesteed aan ontwikkelaars in Belarus (Wit-Rusland). Vier van de vijf voormalige medewerkers die Bloomberg sprak zagen deze outsourcing als een potentieel beveiligingsprobleem. Dat had alles te maken met de nauwe politieke band tussen het land en Rusland.

De wereldwijde supply chain aanval die via VSA-software plaatsvond, was niet de eerste keer dat hackers de software van Kaseya misbruikten om aanvallen uit te voeren. In februari en juni 2019 gebeurde het ook al om gijzelsoftware te verspreiden, die ook wel bekendstond onder de naam GandCrab. Ondanks deze gebeurtenissen zag het bedrijf geen aanleiding om beveiligingsmaatregelen te treffen.

Kaseya wil niet reageren op beschuldigingen

Bloomberg benaderde Kaseya om in te gaan op de beschuldigingen van de vijf oud-medewerkers. In plaats van de gelegenheid gebruik te maken om zich te verweren, zei een woordvoerder dat het bedrijf een beleid hanteert dat het geen mededelingen doet over haar personeel. Ook wilde hij niet ingaan op het strafrechtelijk onderzoek naar de supply chain aanval.

Kwetsbaarheid in VSA-software zorgt voor honderden slachtoffers

Vrijdagavond 2 juli Nederlandse tijd lanceerde het Russische hackerscollectief REvil een supply chain aanval op honderden bedrijven wereldwijd. Daarbij maakten ze handig gebruik van de beveiligingsgaten in VSA. VSA is software dat afnemers gebruiken om servers en computersystemen van klanten op afstand te beheren. Door de zero day exploits konden de aanvallers ransomware of gijzelsoftware installeren. Naar schatting gebeurde dit bij 800 tot 1.500 bedrijven en organisaties.

Beveiligingsspecialisten en ethische hackers uit ons land hadden de aanval bijna weten te voorkomen. Ze ontdekten in april een aantal kritieke beveiligingsproblemen en namen contact op met Kaseya. Gezamenlijk zochten ze naar een oplossing om deze kwetsbaarheden te herstellen. Maar voordat ze de kans kregen om deze uit te rollen, vond de ketenaanval plaats. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, vertelden Wietse Boonstra en Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) afgelopen week. Om meer te weten te komen over de werkwijze van REvil en de daders op te sporen, deed de Nederlandse politie de oproep om aangifte te doen.

Inmiddels gaat er een bericht de ronde over een zogenaamde beveiligingsupdate voor het probleem. In de e-mail is een bijlage met de naam ‘SecurityUpdates.exe’ opgenomen, evenals een link naar een security update die zogenaamd afkomstig is van Microsoft. In werkelijkheid halen slachtoffers hiermee een Cobalt Strike payload binnen die een backdoor toevoegt aan het bedrijfsnetwerk. Zo kunnen hackers en cybercriminelen ongemerkt meekijken, data stelen en gijzelsoftware of andere malware installeren.

Laat een reactie achter