SolarWinds: ‘Minder dan 100 slachtoffers Sunburst-backdoor’

Bord bij de hoofdingang van SolarWinds

Het aantal bedrijven en organisaties dat afgelopen jaar werd getroffen door de Sunburst-backdoor in de SolarWinds supply-chainaanval, is beperkt. Aanvankelijk ging men ervan uit dat duizenden instanties het slachtoffer waren van deze aanval. Volgens recent onderzoek zijn minder dan honderd organisaties daadwerkelijk getroffen door de malware die een achterdeur creëerde.

Dat schrijft SolarWinds in een blog.

Zo begon de supply-chainaanval op SolarWinds

In december 2020 meldde het Amerikaanse cybersecuritybedrijf FireEye dat hackers erin geslaagd waren om allerlei scripts, scanners en tools te stelen die gebruikt konden worden om cyberaanvallen uit te voeren. Met deze hulpmiddelen wisten de aanvallers het bedrijfsnetwerk van SolarWinds binnen te dringen en een supply-chainaanval uit te voeren. Dat is een aanval op een bedrijf waarna de aanvallers vervolgens via dat bedrijf het netwerk van andere partijen proberen te infiltreren.

De daders maakten gebruik van de software die SolarWinds aanbiedt om bedrijfsnetwerken, databases, servers en webapplicaties te monitoren: Orion Network Management Tools. Door een backdoor aan deze software toe te voegen, waren hackers in staat om politieke instanties, lokale overheden en bedrijven te infiltreren.

The New York Times schreef afgelopen januari dat op deze manier meer dan 250 organisaties waren getroffen, waaronder de Amerikaanse ministeries van Financiën, Binnenlandse Zaken, Binnenlandse Veiligheid, Economische Zaken, Justitie en Defensie. Een hooggeplaatste medewerker van de veiligheidsraad die het Witte Huis adviseert nuanceerde dit en zei dat negen federale overheidsinstanties en honderd bedrijven in de private sector getroffen waren door de supply-chainaanval op SolarWinds.

‘Minder dan honderd slachtoffers’

In een weblog nuanceert SolarWinds het aantal slachtoffers van de supply-chainaanval. Het bedrijf zegt dat 18.000 bedrijven en organisaties potentieel het slachtoffer van de Sunburst-backdoor hadden kunnen worden. SolarWinds zegt nu dat het aantal gedupeerden ‘minder dan honderd’ bedraagt.

SolarWinds zegt dat verreweg de meeste klanten de update hebben gedownload waarmee de achterdeur gedicht kon worden. Een deel van hen heeft de update echter nooit geïnstalleerd, waardoor ze vatbaar bleven voor Sunburst. Een ander deel van de klanten gebruikte de update op servers die niet met het internet verbonden waren. Zodoende was het onmogelijk om deze computers van een backdoor te voorzien.

Hoeveel klanten daadwerkelijk de geïnfecteerde update hebben gedownload en geïnstalleerd, weet SolarWinds niet. Het zijn er echter significant minder dan de eerder gemelde 18.000. Onder de slachtoffers zaten echter prominente namen in de techwereld, waaronder Microsoft. Het Amerikaanse hard- en softwarebedrijf meldde dat de daders de broncode van diverse Microsoft-producten hadden ingezien. Ook Malwarebytes, meerdere Amerikaanse ministeries en andere overheidsinstellingen zeiden dat ze het doelwit waren in de supply-chainaanval.

‘Russen verantwoordelijk voor supply-chainaanval’

Verder blijkt uit het onderzoek van SolarWinds dat de broncode van Orion Network Management Tools niet is aangepast. De backdoor werd simpelweg geplaatst via een geautomatiseerde build-software van het Orion-platform. De hackers zouden in oktober 2019 al geprobeerd hebben om de Sunburst-malware in de update te plaatsen, maar zonder succes. Uiteindelijk werd de malware tussen maart en juni 2020 via de Orion-update verspreid.

Het is nog altijd onduidelijk wie er verantwoordelijk is voor de supply-chainaanval op SolarWinds. Securityexperts denken dat Rusland achter de aanval zit. De Russische geheime dienst SVR zou de hackersgroep APT29, ook wel bekend als Cozy Bear, de opdracht hebben gegeven om de cyberaanval uit te voeren. Rusland ontkende van meet af aan de aanval. Volgens het Russische ministerie van Buitenlandse Zaken was de beschuldiging niets meer dan een ‘ongegronde poging van de Amerikaanse media om de schuld van de cyberaanvallen in de schoenen te schuiven van Rusland’, en het land in een kwaad daglicht te plaatsen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen