Chinese hackers opereerden in schaduw van SolarWinds-backdoor

De SolarWinds-aanval waardoor vele van de ruim 18.000 klanten van het bedrijf via een update een backdoor in hun beveiliging opliepen, is het werk van hackers gesteund door de Russische overheid, wordt algemeen aangenomen. Die groep wist via die backdoor diep binnen te dringen bij onder meer een groot aantal Amerikaanse overheidsdiensten, maar ook bij bedrijven zoals Microsoft.

In december werd echter duidelijk dat klanten van SolarWinds ook te maken hadden met het misbruik van een andere kwetsbaarheid in de SolarWinds-software, die de naam Orion kreeg. De hackers die daar gebruik van maakten slaagden erin malware genaamd Supernova te installeren bij in ieder geval één klant van SolarWinds. Tot nog toe was echter niet duidelijk wie er achter deze hack zat.

De Counter Threat Unit van IT-beveiliger Secureworks heeft nu aanwijzingen gevonden uit de gebruikte technieken, tactieken en procedures dat deze parallelle aanval waarschijnlijk het werk is van een Chinese hackersgroep Spiral genoemd. De groep gebruikte deze of vergelijkbare aanvalsmethoden eerder, meld Ars Technica.

Opnieuw op bezoek

De hackers gebruikten de Supernova-malware om wachtwoorden en andere gegevens te verzamelen waarmee dieper in het netwerk kon worden doorgedrongen. Volgens Secureworks gingen de Chinese hackers chirurgische te werk alsof ze wisten waar ze naar op zoek waren. Daarop kwam een eerdere hack van hetzelfde netwerk uit 2018 in beeld die pas in augustus vorig jaar werd ontdekt. Blijkbaar zocht dezelfde groep opnieuw toegang tot het netwerk.