Microsoft, een van de getroffen partijen in de Solarwinds-hack, zegt dat de daders al meer dan een jaar geleden hun malafide code bij Solarwinds inbrachten.
Zowat heel de securitywereld staat op zijn kop nu blijkt dat verschillende bedrijven en overheidsdiensten kwetsbaar zijn voor hackers, vermoedelijk (maar niet bewezen) aangestuurd door Rusland. De oorzaak ervan ligt bij het Orion Platform, software van het Amerikaanse Solarwinds, waarbij updates van het product werden gemanipuleerd om malware mee te nemen die een achterpoortje inbouwde voor hackers.
In het onderzoek naar die aanval zegt Microsoft nu dat de daders al maanden voor de uitrol van die update actief de mogelijkheden uitprobeerden. In een uitgebreide blogpost zegt het bedrifj dat het gaat om een gecompromitteerd DLL-bestand in het Orion platform. Een DLL met 4.000 lijnen code zette de deur open voor hackers.
Dergelijke software-updates zijn digitaal ondertekend om manipulatie te ontdekken. Maar volgens Microsoft is er bewijs dat de daders al in oktober 2019 de mogelijkheden aan het testen waren.
Dat doet vermoeden dat de manipulatie van de code al bezig was lang voor de finale update (in het voorjaar van 2020) werd uitgestuurd. Door dat te doen viel de aanpassing mogelijk minder op dan wanneer ze last minute werd toegevoegd aan de bewuste updates.
Microsoft geeft in haar blogpost nog meer details over de praktijken. Zo leren we dat het ingebouwd achterpoortje ook een reeks controles uitvoert om na te gaan dat het wel degelijk op een echt netwerk draait, en geen sandbox-omgeving. Eens actief hanteert het bovendien een hele reeks unieke subdomeinen, ook praktijken die de kans moeten verminderen dat malafide activiteiten worden ontdekt.
Fout opgemerkt of meer nieuws? Meld het hier