Zo wisten SolarWinds-hackers erg lang uit zicht te blijven
Uit de blog die drie Microsoft-beveiligingsteams samen hebben opgesteld, wordt nog maar eens duidelijk hoe nauwkeurig de hackers hun aanval hebben voorbereid. Het gebruik van de verschillende componenten in de aanval is al enkele weken bekend. "Maar wat miste was de manier waarop de handover plaatsvond tussen de Solorigate DLL backdoor en de Cobalt Strike Loader", zeggen de Microsoft-onderzoekers nu in de blog. "Uit ons onderzoek blijkt dat de aanvallers er voor zorgden dat deze twee componenten zoveel mogelijk werden gescheiden om ontdekking te voorkomen."
De aanvallers hebben de Sunburst-backdoor in juni verwijderd uit de ontwikkelstraten van Solarwinds nadat deze in de maanden daarvoor breed was verspreid onder de Orion-klanten van SolarWinds. In mei begonnen de hackers daadwerkelijk met het gebruik van de backdoors bij slachtoffers. Aanvankelijk waren ze ongeveer een maand lang bezig met het selecteren van de meest interessante slachtoffers tussen de circa 18.000 geïnfecteerden en zetten ze ondertussen een command-and-control-infrastructuur op.
Precieze inrichting van gereedschap
Ook prepareerden ze bij hun slachtoffers unieke instanties van de Cobalt Strike penetratiekits. Daarbij werden bij elk slachtoffer heel precies de namen aangepast van folders en bestanden van exportfunctienamen, HTTP-requests, metadata en configuratiebestanden. Daarbij werd veel gebruik gemaakt van namen die al bestonden op de computers met als doel de kans op ontdekking te minimaliseren. Ook werd de firewall onderhanden genomen met speciale regels die er voor zorgden dat de uitgaande datapakketten niet werden onderschept. Na de export werden deze firewallinstructies weer verwijderd.
Microsoft zegt dat het onderzoek nog altijd gaande is. Het nu gepubliceerde verslag zal ook nog niet het laatste zijn met nieuwe ontdekkingen over de aanval. Microsoft zegt er veel belang aan te hechten om deze zaak tot de bodem uit te zoeken om vergelijkbare aanvalsstrategieën in de toekomst te kunnen voorkomen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee