SolarWinds heeft een schikking getroffen met de aandeelhouders die een rechtszaak hadden aangespannen vanwege de supply chain attack die eind 2020 plaatsvond. Gezamenlijk krijgen zij een schadevergoeding van 26 miljoen dollar. De Securities and Exchange Commission (SEC) is een onderzoek gestart naar de gebeurtenissen, waardoor het bedrijf het risico loopt om boetes opgelegd te krijgen.
Dat blijkt uit een document van de Amerikaanse beurswaakhond.
De gebeurtenissen in de SolarWinds-affaire in een notendop
Voor het begin van deze zaak moeten we terug naar december 2020. Cybersecuritybedrijf FireEye meldde toen dat hackers erin geslaagd waren om scripts, scanners en tools te stelen die gebruikt konden worden om cyberaanvallen uit te voeren. Hiermee wisten de aanvallers het bedrijfsnetwerk van SolarWinds binnen te dringen en een supply chain attack of ketenaanval uit te voeren. Dat is een aanval op een bedrijf waarna de aanvallers via dat bedrijf het netwerk van andere partijen proberen te infiltreren.
De daders maakten gebruik van een kwetsbaarheid in Orion Network Management Tools. Dat is software om bedrijfsnetwerken, databases, servers en webapplicaties op afstand te monitoren. Deze tool is ontwikkeld door SolarWinds. Door een backdoor genaamd SunBurst aan deze software toe te voegen, waren hackers in staat om politieke instanties, lokale overheden en bedrijven te infiltreren.
Volgens The New York Times waren meer dan 250 organisaties het doelwit van hackers. Onder de slachtoffers waren onder meer de Amerikaanse ministeries van Financiën, Binnenlandse Zaken, Binnenlandse Veiligheid, Economische Zaken, Justitie en Defensie. Volgens SolarWinds lag het aantal gedupeerden op ‘minder dan honderd’.
SolarWinds komt met schikkingsvoorstel
Aandeelhouders waren niet blij met de gang van zaken en spanden een rechtszaak aan tegen SolarWinds. Door de supply chain attack liepen zij financiële schade op. De reputatie van SolarWinds werd door de aanval aangetast. Uitspraken over de onderneming, bedrijfsactiviteiten en vooruitzichten waren zodoende vals en misleidend, zo staat er in de aanklacht.
Om een jarenlange juridische strijd te voorkomen, heeft SolarWinds besloten om de zaak te schikken. Voor een bedrag van 26 miljoen dollar wil het bedrijf een einde maken aan de rechtszaak. Het bedrag is goedgekeurd door de verzekeringsmaatschappij van SolarWinds. Het is nu aan de rechtbank om te oordelen over het schikkingsvoorstel. In het voorstel staat onder meer dat het bedrijf geen schuld of blaam betreft en zodoende niet aansprakelijk is voor enig wangedrag.
SEC start onderzoek naar SolarWinds
Daarmee is de kous nog niet af voor SolarWinds. De SEC is een onderzoek gestart naar de gebeurtenissen. Als de Amerikaanse beurswaakhond tot de conclusie komt dat het bedrijf onjuiste informatie heeft verspreid bij bekendmakingen, publieke verklaringen, controles en procedures, riskeert de onderneming forse boetes.
Het is nog altijd niet duidelijk wie er achter de ketenaanval bij SolarWinds zit. Cybersecurityexperts vermoeden dat Nobelium verantwoordelijk is voor de aanval. De Russische geheime dienst zou het hackerscollectief opdracht hebben gegeven om de Amerikaanse ICT-dienstverlener aan te vallen. Rusland heeft de aantijgingen altijd ontkend. De Russische minister van Buitenlandse Zaken Sergej Lavrov deed de beschuldigingen af als “een ongegronde poging van de Amerikaanse media om Rusland de schuld in de schoenen te schuiven”.
