Outsourcingsgigant onderzoekt interne accountkaping

In de korte bevestiging van Wipro dat het intern security-onderzoek doet, geeft het bedrijf aan dat het gaat om slechts enkele accounts van werknemers. Daar is dus mogelijk verdacht gedrag opgemerkt, volgend op “een geavanceerde phishing-campagne”. Verder laat Wipro geen details los over omvang of aard van de gepleegde hack.

Openstaande vragen

In de officiële verklaring (verstrekt aan onder meer persbureau Reuters) stelt Wipro dat het gelijk een onderzoek heeft ingesteld toen het op de hoogte was van dit incident. En dat het daarbij de getroffen gebruikers heeft geïdentificeerd en maatregelen heeft getroffen om eventuele impact te beperken.

Vooralsnog ontbreekt het aan officiële informatie over het soort gecompromitteerde accounts, en dus de permissies voor bijvoorbeeld ICT-omgevingen van klanten. Wipro laat ook in het ongewisse wat de timing van de hack-ontdekking is, en of getroffen klanten ook daadwerkelijk zijn geïnformeerd. Verder is nog onbekend welke klanten van de outsourcingsfirma zijn getroffen.

Springplank

Dit security-incident komt aan het licht vlak voordat Wipro zijn financiële resultaten voor het vierde kwartaal bekend ging maken. De omzet uit IT-diensten is in die periode licht gestegen nadat in het derde kwartaal de verwachtingen zijn overtroffen, schrijft Reuters in een financieel bericht. Gedurende de afgelopen maanden zou Wipro echter diepgaand zijn gehackt, meldt security-expert en ICT-journalist Brian Krebs.

De systemen van het bedrijf zijn door aanvallers gebruikt als springplank voor verkenningsoperaties naar zeker een dozijn systemen van Wipro-klanten. ICT-onderzoeksjournalist Krebs, die al vele security-onthullingen op zijn naam heeft staan, is hierover getipt door twee vertrouwde security-experts, die hij niet kan onthullen. De via Wipro ingezette hackaanvallen zijn gedetecteerd door Wipro’s klanten, zo melden deze bronnen.

‘Meerlaags securitysysteem’

Krebs heeft Wipro een week geleden geïnformeerd en om commentaar gevraagd. Na enig uitstel, omdat het communicatiehoofd op reis was, verstrekte het Indiase bedrijf een reactie. Dat gaf echter geen antwoorden, schrijft Krebs. Wipro stelt in zijn reactie dat het “een meerlaags securitysysteem heeft en robuuste interne processen en een systeem van geavanceerde securitytechnologie om phishingpogingen te detecteren en zichzelf te beschermen tegen zulke aanvallen”.

Verder stelt Wipro dat het zijn hele infrastructuur op continue basis monitort, en dat op een “verhoogd niveau van alertheid” om te kunnen omgaan met “elke potentiële cyberdreiging”. Aanvullende vragen van Krebs hebben geen respons opgeleverd, waarna de ICT-securityjournalist is gecontacteerd door nog twee bronnen met kennis van Wipro’s interne onderzoek naar deze securityschending bij de outsourcingsfirma.

12 klanten en Wipro zelf

De vorige week aan Krebs gegeven standaardverklaring staat haaks op de nu verstrekte openlijke bevestiging van “potentieel abnormale activiteit in enkele werknemersaccounts”. Hetzelfde geldt voor de aangegeven oorzaak van een phishingcampagne, die volgens het getroffen bedrijf dan wel “geavanceerd” is. Het zou gaan om een aanvaller met staatssteun, weten de anonieme bronnen van Krebs te melden.

Een van de bronnen is betrokken bij forensisch onderzoek bij een Wipro-klant en verklapt dat tenminste elf andere bedrijven zijn aangevallen. Dat aantal komt naar voren uit bestandsmappen die zijn aangetroffen op de back-end infrastructuur van de aanvallers. Mappen daar zijn getooid met de bedrijfsnamen van Wipro-klanten. Een van de andere bronnen meldt dat Wipro nu een nieuw e-mailsysteem opbouwt, omdat de bedrijfsmail van de dienstverlener al geruime tijd zou zijn gecompromitteerd door de aanvallers.