image

Aanvallers voorzien software-updates SolarWinds van backdoor

maandag 14 december 2020, 08:30 door Redactie, 19 reacties

Aanvallers zijn erin geslaagd om officiële software-updates van it-beheersoftware SolarWinds van een backdoor te voorzien en zo overheden en bedrijven wereldwijd aan te vallen. Dat hebben SolarWinds, Microsoft, securitybedrijf FireEye en het Amerikaans CISA bekendgemaakt. De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.

SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. Tussen maart en juni van dit jaar werden meerdere digitaal gesigneerde getrojaniseerde updates op de website van SolarWinds geplaatst die via de updatefunctie van de software gedownload konden worden, meldt FireEye. Naast het handmatig installeren van updates beschikt het Orion Platform ook over een automatische updatefunctie. De backdoor was aanwezig in versies 2019.4 HF 5 tot en met 2020.2.1.

Hoe de aanvallers toegang tot de systemen van SolarWinds wisten te krijgen is nog onbekend. Eenmaal actief op een systeem maakte de backdoor verbinding met een domein voor het downloaden van aanvullende malware, het verder infecteren van de organisatie en het stelen van data.

FireEye meldt dat het bij meerdere organisaties wereldwijd de backdoor heeft aangetroffen. Slachtoffers bevinden zich in verschillende sectoren, waaronder overheid, consultancy, technologie en telecom, in Noord-Amerika, Europa, Azië en het Midden-Oosten. Namen van getroffen organisaties zijn niet bekendgemaakt. Bronnen laten aan Reuters weten dat de Amerikaanse ministeries van Financiën en Handel slachtoffer zijn geworden en aanvallers toegang tot het e-mailverkeer hadden.

SolarWinds adviseert klanten om zo snel als mogelijk te updaten naar Orion Platform versie 2020.2.1 HF 1, die beschikbaar is via de SolarWinds Customer Portal. Morgen verschijnt een aanvullende hotfix, 2020.2.1 HF 2, die zowel het gecompromitteerde onderdeel verwijdert als aanvullende beveiligingsmaatregelen toevoegt. FireEye heeft voor Snort, Yara en ClamAV rules gepubliceerd om malware van de aanvallers te detecteren.

Amerikaanse overheid

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een "Emergency Directive" afgegeven. Federale overheidsinstanties zijn hierdoor verplicht om systemen met kwetsbare versies van het Orion Platform uit te schakelen of los van het netwerk te koppelen en verschillende andere maatregelen te nemen. Een aantal van deze maatregelen moeten vandaag al worden doorgevoerd.

Image

Reacties (19)
14-12-2020, 08:57 door Henri Koppen
Doet me wel een beetje denken aan M.E. Doc en hoe dus het hacken van een leverancier ervoor zorgde dat malware via een officiële update van dat bedrijf werd binnengehaald.

Zoals Ronald Prins tweet:"Organisaties die niet binnen een uur kunnen vaststellen of ze verkeer naar avsvmcloud[.]com het afgelopen jaar gehad hebben, hebben nog wat werk te doen."
14-12-2020, 11:08 door Anoniem
ok dus bedrijven die altijd keurig hun updates op tijd installeren die werden getroffen door een trojan waar bedrijven die
zo'n solarwinds installatie ooit een keer gedaan hadden en daarna niet meer zo op gelet hebben geen last van hadden?
14-12-2020, 11:47 door -Peter-
Door Henri Koppen: Doet me wel een beetje denken aan M.E. Doc en hoe dus het hacken van een leverancier ervoor zorgde dat malware via een officiële update van dat bedrijf werd binnengehaald.

Zoals Ronald Prins tweet:"Organisaties die niet binnen een uur kunnen vaststellen of ze verkeer naar avsvmcloud[.]com het afgelopen jaar gehad hebben, hebben nog wat werk te doen."

Ronald Prins is pro-surveilancestaat.
We hebben in de EU nog steeds de GDPR.

Peter
14-12-2020, 12:27 door Anoniem
Door Anoniem: ok dus bedrijven die altijd keurig hun updates op tijd installeren die werden getroffen door een trojan waar bedrijven die
zo'n solarwinds installatie ooit een keer gedaan hadden en daarna niet meer zo op gelet hebben geen last van hadden?
Klopt, die hebben geen last van deze trojan. Maar mogelijk wel van alle security problemen die tussen versie 2019.4 HF 5 en nu wel gerepareerd zijn.
14-12-2020, 16:53 door Anoniem
Door Henri Koppen: Doet me wel een beetje denken aan M.E. Doc en hoe dus het hacken van een leverancier ervoor zorgde dat malware via een officiële update van dat bedrijf werd binnengehaald.

Zoals Ronald Prins tweet:"Organisaties die niet binnen een uur kunnen vaststellen of ze verkeer naar avsvmcloud[.]com het afgelopen jaar gehad hebben, hebben nog wat werk te doen."

It's an act of Magick!

Maar serieus hoor , deze hack illustreert wel wat ik altijd al heb geroepen van 'wees voorzichtig met updates'. Niet meteen updaten zoals iedereen altijd ingeprent krijgt.

Je weet nooit wat er met de updates gebeurt. Vroeger had je dat met Microsoft patches. Je haalde een nieuwe update binnen en kreeg allerlei nieuwe "kinderziektes" te verduren. Ook met Linux in de opensource community werd er niet altijd goed getest. Zelfs bij meer recentelijke software die dat juist wel doen zoals QubesOS daar vond ik nog een usability bug in die niet zou mogen. En die gasten die testen hun betas best lang.

Ik bedoel maar. Ik ben blij dat ik uit deze "security theater" industrie ben want het is tegenwoordig allemaal zo van dat je 1 kant moet kiezen "want oorlog". Gewoon je eigen ding doen is er niet meer bij.

/r
14-12-2020, 16:58 door Anoniem
I vroeg me af: Hoe zit het dan met de financiële schade die de bedrijven oplopen door dit gebeuren?

Wel allemaal leuk die updates maar hier word je niet vrolijk van...leerpuntje
14-12-2020, 17:32 door Anoniem
[q]De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.[/q]

Ik vind het wel fascinerend waar men het vandaan haalt dat de backdoor de manier is waarop ze bij FireEye binnen zijn gekomen. Ik heb die posts door zitten lezen (ook de link in dit stukje tekst), maar nergens zie ik dat dat genoemd wordt. Of lees ik verkeerd?
14-12-2020, 18:02 door Anoniem
Door Anoniem: I vroeg me af: Hoe zit het dan met de financiële schade die de bedrijven oplopen door dit gebeuren?

Wel allemaal leuk die updates maar hier word je niet vrolijk van...leerpuntje

Ken jij uit IT geschiedenis een voorbeeld waarbij 'gevolgschade' verhaald is op de leverancier ?
Ik niet.

Dus het antwoord kan ik je zo wel geven : de schade die al die klanten van Solarwinds hebben gaan ze zelf moeten dragen.

(Iemand die iets verhaald heeft op Juniper, mbt tot de driedubbel gebackdoorde firewalls ? )

En inderdaad - zo'n "supply chain" attack is qua security een nachtmerrie scenario , en vrijwel niet te voorkomen.
14-12-2020, 20:29 door Anoniem
Door Anoniem: [q]De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.[/q]

Ik vind het wel fascinerend waar men het vandaan haalt dat de backdoor de manier is waarop ze bij FireEye binnen zijn gekomen. Ik heb die posts door zitten lezen (ook de link in dit stukje tekst), maar nergens zie ik dat dat genoemd wordt. Of lees ik verkeerd?

Nee - je leest het goed. En het is niet consistent.

In de link naar de inbraak bij FireEye staat niks over de methode van binnendringen daar.

Hoe de tools konden worden gestolen laat FireEye niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven.

En hier over Solarwinds:


Hoe de aanvallers toegang tot de systemen van SolarWinds wisten te krijgen is nog onbekend.

Met wat (publiek) bekend is kun je dus niet zeggen dat de methode hetzelfde is.
Ik denk gewoon een 'vingers sneller dan het hoofd' bij de redacteur - waarchijnlijk bedoelde die alleen te zeggen dat recent ook FireEye slachtoffer werd van een geavanceerde aanvaller.
14-12-2020, 22:05 door Anoniem
Door Anoniem:
Door Anoniem: [q]De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.[/q]

Ik vind het wel fascinerend waar men het vandaan haalt dat de backdoor de manier is waarop ze bij FireEye binnen zijn gekomen. Ik heb die posts door zitten lezen (ook de link in dit stukje tekst), maar nergens zie ik dat dat genoemd wordt. Of lees ik verkeerd?

Nee - je leest het goed. En het is niet consistent.

In de link naar de inbraak bij FireEye staat niks over de methode van binnendringen daar.

Hoe de tools konden worden gestolen laat FireEye niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven.

En hier over Solarwinds:


Hoe de aanvallers toegang tot de systemen van SolarWinds wisten te krijgen is nog onbekend.

Met wat (publiek) bekend is kun je dus niet zeggen dat de methode hetzelfde is.
Ik denk gewoon een 'vingers sneller dan het hoofd' bij de redacteur - waarchijnlijk bedoelde die alleen te zeggen dat recent ook FireEye slachtoffer werd van een geavanceerde aanvaller.

"and the operation is related to a cyber breach disclosed last week of U.S.-based cybersecurity firm FireEye"

"Two of the people said that the breaches are connected to a broad campaign that also involved the recently disclosed hack on FireEye"

"The victims have included government, consulting, technology, telecom, and oil and gas companies in North America, Europe, Asia and the Middle East, according to FireEye, a cyber firm that itself was breached."

"FireEye reported last week that it was breached and that hacking tools it uses to test clients’ computer defenses were stolen. The Washington Post reported that APT29 was the group behind that hack. FireEye and Microsoft, which were investigating the breach, discovered the hackers were gaining access to victims through updates to SolarWinds’ Orion network monitoring software"
14-12-2020, 22:13 door Anoniem
Heb ooit een demo van SolarWinds MSP geïnstalleerd om te zien of het iets was.

Wat een bij elkaar geraapte teringbende is dat. Vind t niet zo vreemd dat ze nu pas gehackt zijn.
14-12-2020, 22:19 door Anoniem
Ik lees dus:
1 dat fireeye wat it-wapens op scherp had laten slingeren..
2 updates gevaarlijk zijn
3 russen er altijd achter zitten, tenzij get chinezen of iraniers of indiers, ohnee, die niet meer inmiddels.
4 niemand zich nu afvraagd hoe dit uberhaupt kan dat externen signed updates kunnen uitrollen
5 bellingcat via internet heeft achterhaald dat het toch russen waren.
14-12-2020, 22:32 door Anoniem

"and the operation is related to a cyber breach disclosed last week of U.S.-based cybersecurity firm FireEye"

"Two of the people said that the breaches are connected to a broad campaign that also involved the recently disclosed hack on FireEye"

"The victims have included government, consulting, technology, telecom, and oil and gas companies in North America, Europe, Asia and the Middle East, according to FireEye, a cyber firm that itself was breached."

"FireEye reported last week that it was breached and that hacking tools it uses to test clients’ computer defenses were stolen. The Washington Post reported that APT29 was the group behind that hack. FireEye and Microsoft, which were investigating the breach, discovered the hackers were gaining access to victims through updates to SolarWinds’ Orion network monitoring software"

Prima. Maar hier staat nog steeds niet hard dat FireEye gegrepen is door een gebackdoorde Solarwinds bij hen. Er wordt alleen een relatie gelegd. Zou net zo goed kunnen dat SolarWinds is gegrepen door meuk dat ze bij FireEye gegapt hebben. Want dat de hack vorige week gemeld is wil niet zeggen dat het ook vorige week of de week ervoor heeft plaatsgevonden. En een datum geeft FE niet.

Correlatie is geen Causatie..
14-12-2020, 22:56 door Anoniem
Zie https://www.security.nl/posting/681922/SolarWinds%3A+ongeveer+18_000+klanten+getroffen+door+backdoor

"Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd."

Staat gewoon een link bij naar FireEye...
15-12-2020, 08:13 door Anoniem
Door Anoniem: Zie https://www.security.nl/posting/681922/SolarWinds%3A+ongeveer+18_000+klanten+getroffen+door+backdoor

"Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd."

Staat gewoon een link bij naar FireEye...

https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html

dit is de link. Lees em eens door en vertel met dan met paragraafverwijzing WAAR er staat dat FireEye door de Solarwinds trojan is gegrepen?
Security.nl verwijst telkens primair naar de eigen bewering.

FireEye vertelt niks specifieker dan dat ze aan een global campaign werken. Nergens zeggen ze dat ze zelf ook slachtoffer zijn.
15-12-2020, 08:53 door _R0N_
Het opvallende hieraan is ook dat van de 300.000 klanten van de software er "maar" 18.000 zijn geraakt, de rest heeft dus de betreffende update niet geïnstalleerd.
15-12-2020, 09:35 door Anoniem
Door Anoniem:
Door Anoniem: Zie https://www.security.nl/posting/681922/SolarWinds%3A+ongeveer+18_000+klanten+getroffen+door+backdoor

"Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd."

Staat gewoon een link bij naar FireEye...

https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html

dit is de link. Lees em eens door en vertel met dan met paragraafverwijzing WAAR er staat dat FireEye door de Solarwinds trojan is gegrepen?
Security.nl verwijst telkens primair naar de eigen bewering.

FireEye vertelt niks specifieker dan dat ze aan een global campaign werken. Nergens zeggen ze dat ze zelf ook slachtoffer zijn.

"In our announcement on Dec. 8, we stated we would provide updates as we discovered additional information, in order to ensure that the broader community is aware of the evolving threats we all face. As part of that commitment, we want to provide you with the following update on our investigation.

We have identified a global campaign that introduces a compromise into the networks of public and private organizations through the software supply chain. This compromise is delivered through updates to a widely-used IT infrastructure management software—the Orion network monitoring product from SolarWinds. "

Nu duidelijk genoeg voor je?
16-12-2020, 07:59 door Anoniem
Door Anoniem: ok dus bedrijven die altijd keurig hun updates op tijd installeren die werden getroffen door een trojan waar bedrijven die
zo'n solarwinds installatie ooit een keer gedaan hadden en daarna niet meer zo op gelet hebben geen last van hadden?
Dat kan inderdaad. Misschien hebben de bedrijven die 'ooit een keer.....' weer van andere dingen last.
Als jij denkt dat je enkel met het uitvoeren van updates je informatiebeveiliging op orde hebt, dan zou ik snel wat aan bijscholing gaan doen mocht je in dit vakgebied werkzaam zijn.
16-12-2020, 08:07 door Anoniem
Door -Peter-:
Ronald Prins is pro-surveilancestaat.
...

Peter
Hij is er goed rijk van geworden
https://www.deondernemer.nl/actueel/hackexpert-ronald-prins-fox-it-bedrijf-133-miljoen-fbi-als-klant~281256
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.