De inbraak op het netwerk van securitybedrijf FireEye kwam aan het licht nadat de aanvallers vanaf een nieuw apparaat op het vpn probeerden in te loggen, zo heeft het bedrijf laten weten. Vorige week meldde FireEye dat aanvallers toegang tot de systemen hadden gekregen en allerlei scripts, scanners en tools hadden buitgemaakt die het bedrijf gebruikt om de it-beveiliging van klanten te testen.

De inbraak bij FireEye was mogelijk door een backdoor in de software van SolarWinds. Het lukte aanvallers om updates voor het Orion Platform van SolarWinds ongemerkt van een backdoor te voorzien. Wereldwijd installeerden 18.000 bedrijven en organisaties de besmette updates, waaronder FireEye. Zo kregen de aanvallers toegang tot het netwerk van het securitybedrijf. Dat ontdekte de inbraak nadat er werd geprobeerd om op het vpn in te loggen.

"We ontdekten het incident omdat we een verdachte inlogpoging op onze vpn-oplossing zagen", zegt Charles Carmakal, Strategic Services CTO van FireEye, tegenover Politico. "De aanvaller wist een apparaat aan onze multifactor-authenticatieoplossing toe te voegen, en dat genereerde een waarschuwing, die we verder onderzochten." Berichtgeving dat een medewerker in een phishingaanval is getrapt, zoals bronnen aan Politico laten weten, is volgens het securitybedrijf onjuist.

Hoelang de aanvallers toegang tot het netwerk hadden voordat FireEye het opmerkte is niet bekendgemaakt. Door het onderzoek van het securitybedrijf bleek uiteindelijk dat de aanvallers via SolarWinds waren binnengekomen, waarop deze week een waarschuwing van zowel SolarWinds als FireEye volgde.