Schade SolarWinds-hack dijt uit

Els Bellens
Els Bellens Technologiejournaliste bij Data News

We zijn nog niet af van de SolarWinds-hack. De uitlopers van de grootschalige hack moeten nog volop worden uitgeroeid. Dat schrijft securitybedrijf NTT in zijn maandelijks dreigingsrapport.

De gevolgen van de SolarWinds-hack, ondertussen zo’n jaar geleden, zijn nog altijd niet helemaal te overzien. Dat meldt NTT. Op 20 februari vorig jaar werd SolarWinds, dat beheersoftware levert, gehackt. Een update van de software van het bedrijf werd vervolgens gebruikt om een ‘supply chain’-aanval uit te voeren op een hele reeks bedrijven en organisaties, van Microsoft en Cisco tot een hele reeks Amerikaanse overheidsinstellingen.

Sunburst

De malware, genaamd Sunburst, zou gedistribueerd zijn naar 17.000 klanten van SolarWinds. Om hun backdoor in die update te krijgen gebruikten ze een stuk software dat analysten Sunspot noemen, speciaal gebouwd voor de software-ontwikkelingsprocessen van SolarWinds, om zo de beveiliging van de software te omzeilen. Die malware werd in juni vorig jaar door de hackers weer van SolarWinds’ systeem gehaald om hun sporen te wissen.

Het is niet meteen duidelijk hoeveel van de SolarWinds-klanten de malware ook hebben binnengehaald en geïnstalleerd. Wat we ondertussen wel weten is dat de hackers in de periode tussen de Sunburst-update en de bekendmaking van het lek, in december, niet hebben stilgezeten.

Zo hebben onderzoekers op de systemen van slachtoffers nog andere malware gevonden, waarschijnlijk achtergelaten door dezelfde actoren, waaronder Teardrop. Dat is een ‘dropper’ die op zijn beurt gebruikt werd om een vierde stuk malware, Cobalt Strike Beacon, te downloaden en op te starten. Die Cobalt Strike is een tooltje waarmee hackers lateraal door netwerken kunnen bewegen, en zo van de ene computer naar de andere kunnen ‘springen’.

Als dat allemaal bijzonder ingewikkeld klinkt, dan is het omdat beveiligers ondertussen uitgaan van een gesofisticeerde groep aanvallers die waarschijnlijk door een natiestaat worden gesponsord. Code en werkwijze wijzen in de richting van onder meer UNC2452 ofte ‘Dark Halo’ en APT29 ofte Cozy Bear, beide geassocieerd met de Russische geheime dienst. De Russische overheid ontkent iets met de hack te maken te hebben.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content