SolarWinds-aanval begon al in 2019 met nieuw ontdekte malware

De hackers die een achterdeurtje in de Orion-software van SolarWinds plaatsten, begonnen hun aanval al in september 2019. Dat stelt securityspecialist CrowdStrike in een nieuw rapport. Het bedrijf heeft een derde malware strain ontdekt die in september 2019 gebruikt werd om het achterdeurtje toe te voegen aan de Orion-software.

Eveline MeijerRedacteurMeer van deze auteur

hack — © Shutterstock.com

Shutterstock.com

De derde gevonden malware strain is door Crowdstrike Sunspot genoemd, schrijft ZDNet. Volgens het securitybedrijf werd deze malware in september 2019 na inbraak op het netwerk van SolarWinds ingezet. Sunspot is geplaatst op een build server voor SolarWinds beheersoftware. De malware moest daar in de gaten houden of er build-commando's werden uitgevoerd om beheerpakket Orion in elkaar te zetten.

Meertrapsmethode

Wanneer dat gebeurde, en er dus een nieuwe release van Orion werd gemaakt, verving de meekijkende malware bestanden met broncode in de Orion-app door bestanden die de Sunburst-malware laadden. Het resultaat was een Orion-app die ook deze 'extern gerichte' Sunburst-malware installeerde. Die backdoor kwam zo dus terecht bij de diverse klanten van SolarWinds.

De Sunburst-malware werd na installatie geactiveerd in de interne netwerken van bedrijven en overheidsinstanties, waar het data verzamelde over die slachtoffers. Deze data werd weer teruggestuurd naar de heimelijke hackers, die bepaalden of een slachtoffer interessant genoeg was om te hacken. Was een slachtoffer een interessant genoeg doelwit, dan installeerden de hackers ook de Teardrop-achterdeur en verwijderde Sunburst zichzelf weer.

Tijdlijn aanval

Er waren al eerder berichten dat de SolarWinds-aanval ver voor de ontdekking van start is gegaan. Veel eerder nog dan eerst gedacht. Bronnen van Yahoo News zeiden eind december dat de aanvallers al in oktober 2019 toegang hadden tot de systemen van de softwareleverancier. Volgens die bronnen injecteerden de hackers destijds niet-malafide bestanden in de systemen van SolarWinds, mogelijk om te testen of hun aanval gedetecteerd zou worden.

SolarWinds bevestigt deze bevindingen nu in een tijdlijn die het op zijn website heeft gepubliceerd. Volgens die tijdlijn kwamen de hackers op 4 september 2019 binnen in de systemen en injecteerden zij op 12 september testcode. Als gevolg daarvan verscheen in oktober 2019 een versie van Orion met aangepaste code. De Sunburst-achterdeur zat toen echter nog niet in Orion verwerkt.

Testsucces en stilteperiode

De testronde van de hackers eindigde op 4 november 2019. Vervolgens leek het even stil te zijn gebleven. Op 20 februari 2020 werd volgens SolarWinds Sunburst toegevoegd aan Orion. Die malware werd volgens het bedrijf in juni 2020 weer uit de omgeving van SolarWinds verwijderd. Het bedrijf deed toen naar eigen zeggen ook al onderzoek naar diverse kwetsbaarheden in Orion, maar de Sunburst-aanval werd pas op 12 december ontdekt.