'SolarWinds-hack al half jaar eerder ontdekt door Justitie VS'
Begin december 2020 werd duidelijk dat diverse bedrijven én Amerikaanse overheidsinstanties gehackt waren door vermoedelijk Russische staatshackers. De aanvallers konden e-mails meelezen bij het Amerikaanse ministerie van Justitie, mogelijk encryptiesleutels buitmaken bij het ministerie van Financiën, hackmethodes stelen van beveiligingsbedrijf FireEye en broncode stelen van Microsoft.
Alle getroffen bedrijven bleken gebruik te maken van beheersoftware Orion van SolarWinds, dat door 18.000 klanten werd gebruikt. Daarin zat een achterdeur - stilletjes toegevoegd door de aanvallers - waarlangs de cybercriminelen konden binnendringen in de systemen van slachtoffers. Uiteindelijk konden de aanvallers vier tot negen maanden in de netwerken zitten voor de aanval ontdekt werd.
Justitie ontdekte het eerder
Anonieme bronnen van WIRED stellen echter dat de aanval al zes maanden eerder ontdekt werd door het Amerikaanse ministerie van Justitie. Het ministerie draaide destijds een testversie van Orion. In mei 2020 merkte de organisatie verdacht gedrag op, zo vertellen de bronnen: de testversie legde verbinding met een onbekende server. Justitie vroeg beveiligingsbedrijf Mandiant om te onderzoeken of de server gehackt was. Ook werd er contact gelegd met Microsoft, maar het is niet duidelijk waarom dit bedrijf betrokken werd bij het onderzoek.
Het eerste vermoeden was dat de aanvallers de servers van Justitie direct aan hadden gevallen via een kwetsbaarheid in Orion. Daarop werd contact gezocht met SolarWinds, maar dat bedrijf kon na eigen onderzoek geen kwetsbaarheid vinden. In juli 2020 stopte het contact hierover en een maand later kocht Justitie de definitieve versie van Orion, zo vertellen de bronnen nu.
Een woordvoerder van Justitie heeft tegenover WIRED bevestigd dat er een incident was en er onderzoek is gedaan, maar geeft geen details over de conclusies van de onderzoekers. Wel zegt de woordvoerder dat het destijds de Amerikaanse Cybersecurity and Infrastructure Agency (CISA) op de hoogte heeft gesteld van de aanval. Andere overheidsinstanties werden hier niet van op de hoogte gesteld.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee