SolarWinds hack

Russische staatshackers hacken softwarebedrijf SolarWinds. Via software-updates plaatsen de hackers achterdeuren (backdoors) in systemen van ruim 18.000 gebruikers van de software ‘Orion’ van SolarWinds, waaronder een aantal Amerikaanse ministeries en gezondheidsinstituten. Dit speelt al sinds maart 2020.

Rickey Gevers van het antivirus bedrijf Bitdefender was te gast bij BNR. Hieronder een samenvatting van het audiofragment van BNR + verder onderzochte informatie door IT-Everywhere.

Hoe zijn de 18.000 klanten eraan toe?

De backdoor gaat alleen ‘aan’ bij specifieke targets. Bij de ene klant gaat de backdoor wel aan en bij de andere klant niet. “Het betekent dus niet dat er 18.000 klanten gehackt zijn.”.

Wat doet SolarWinds?

SolarWinds doet network security monitoring. Zij zijn een security bedrijf – dus een fijne plek om als hacker binnen te zitten. SolarWinds heeft voornamelijk grote bedrijven als klant. “De Amerikaanse slachtoffers waarvan we weten dat ze geïnfecteerd zijn, zijn bijna allemaal grote jongens.”, aldus Rickey.

Zijn er Nederlandse slachtoffers?.

“Ik heb zelf nog geen Nederlandse slachtoffers hiertussen gevonden…. Er zitten waarschijnlijk ook interessante Nederlandse bedrijven tussen.”. Verder in dit artikel meer over de slachtoffers van de hack.–>

Wachtwoord geraden? – SolarWinds123

Dit wachtwoord werd gebruikt voor de update server. Het is niet duidelijk of de hackers zo zijn binnen gekomen. Zie link in bronnenlijst over wachtwoord Solarwinds123.

Hebben de hackers al sinds Maart 2020 hun gang kunnen gaan?

“Ja, dat klopt”. De hack is eerst heel goed voorbereid, en sinds Maart zijn de eerste binaries uitgerold”. Het gaat wel om geavanceerde malware (wellicht een APT – Advanced Persistent Threat).

Cozy Bear (APT29) en Fancy Bear (APT28) – beiden grote Russische spionage / hackergroepen die net even anders te werk gaan. Het zijn spionagegroepen die niet proberen op te vallen.

Wat voor informatie hebben de hackers binnen weten te hengelen?

Dit is nog niet duidelijk, het is wel duidelijk dat er bij een Amerikaans ministerie is meegelezen met mailverkeer.

Het kan zomaar zijn dat de hackers overal binnen zitten en met elke webcam mee kunnen kijken en met elke microfoon kunnen meeluisteren, en elke toetsaanslag mee kunnen lezen… Speculatie.. Maar het zou kunnen.

Hoe werkt de hack en wie waren de targets?

De hackers gebruiken een Domain Generation Algorithm. Dit houdt in dat er voor elk target automatische en domeinnaam wordt gegenereerd.

De functie van de domeinnamen:

Het komt er kort op neer dat de hackers domeinnamen genereren om te gebruiken als afspreekpunt tussen het bedrijf en de hacker.

De hackers zorgden ervoor dat ze de domeinen op een server dicht bij het desbetreffende bedrijf gehost werden zodat deze niet/minder opvielen bij securitycentra die netwerkverkeer monitoren.

Er is een lijst (https://github.com/5u3e10px/Suburst-DGA-Domains-Decoded (veilige link – github.com)) te vinden met gedecodeerde domeinnamen van bedrijven die gehackt zijn. Een paar bekende bedrijven uit deze lijst zijn:

  • Deloitte
  • Hewlett Packard (HP)
  • Intel
  • Nvidia
  • Cisco

Stel je bent klant van SolarWinds, wat kan je dan doen?

Zodra de hackers binnen zijn geweest kunnen zij alles hebben gedownload. Check of er via een specifiek domein een backdoor gedownload is en/of er andere code is gedownload. Onderzoek of er een domein is bezocht om de backdoor te downloaden.

Hoe raak je de SolarWinds backdoor kwijt?

Dat is specifiek per bedrijf. Zorg dat antivirus software wordt geüpdatet, die verwijderd dan automatisch de malafide updates.

Wel kan de hackergroep kan ondertussen eigen tools geïnstalleerd hebben. Hierdoor hebben zij wellicht inloggegevens kunnen binnen hengelen om daarmee weer toegang te kunnen krijgen tot systemen op een legitieme manier. Wachtwoorden veranderen is dus sowieso aan te raden.

Behoefte aan een security check?

Bel ons dan voor vrijblijvend advies! Je kan ons ook een bericht sturen via het contactformulier. We bespreken wat er mogelijk is, uiteraard voor een schappelijke prijs!

Bronnen:

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *