Aanvallers kregen in september 2019 toegang tot systemen SolarWinds
De aanvallers achter de aanval op SolarWinds kregen begin september 2019 voor het eerst toegang tot de systemen van het bedrijf, wat inhoudt dat ze maandenlang onopgemerkt hun gang konden gaan. Dat laat SolarWinds in een update over de wereldwijde supply-chain-aanval weten.
SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd. Uit het voorlopige onderzoek naar de aanval blijkt dat de aanvallers op 4 september 2019 voor het eerst toegang tot de systemen van SolarWinds kregen. Hoe dit gebeurde is nog altijd niet bekendgemaakt.
Op 12 september voegden de aanvallers testcode toe aan de Orion-software van SolarWinds. Deze test, zoals SolarWinds het noemt, liep door tot 4 november 2019. Eind februari 2020 werd voor het eerst een backdoor aan een software-update voor het Orion-platform toegevoegd. Deze update werd in maart aan klanten aangeboden. Vervolgens werden nog een aantal updates aangepast, waarbij de laatste besmette update op 24 juni 2020 verscheen.
De aanvallers hadden eerder al in juni 2020 hun malware uit de buildsystemen van SolarWinds verwijderd. Daarna zijn er geen verdere acties van de aanvallers waargenomen, zo blijkt uit de voorlopige onderzoeksresultaten. SolarWinds wordt op 12 december door securitybedrijf FireEye geïnformeerd over de backdoor en dat aanvallers toegang tot de systemen van het bedrijf hadden. De besmette updates werden uiteindelijk door 18.000 klanten van SolarWinds geïnstalleerd.
Incidenten
SolarWinds stelt dat het de Orion-software op kwetsbaarheden controleerde, maar de backdoor geen enkele keer ontdekte. Wel zijn er twee 'supportincidenten' bij klanten geweest die, achteraf gezien, mogelijk met de backdoor verband houden. Het eerste incident werd samen met de niet nader genoemde klant en twee securitybedrijven onderzocht. De backdoor bleef echter onopgemerkt. Ook bij het tweede incident in november werd de kwaadaardige code niet door SolarWinds gevonden. Het onderzoek naar beide incidenten is echter nog gaande en SolarWinds geeft hier verder geen informatie over.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Docenten en docentonderzoekers Cyber Security
Wil jij ICT-studenten wegwijs maken in de snel veranderende wereld van IT-beveiliging? Wil jij samen met onderzoekers en praktijkpartners onderzoek doen op het gebied van praktijkgerichte cyber security? De Hogeschool van Amsterdam is voor de opleiding HBO-ICT op zoek naar meerdere enthousiaste fulltime en parttime docenten en docentonderzoekers Cyber Security.
Teamcoördinator HBO ICT
Wil jij je samen met een gespecialiseerd team van Cyber Security docenten inzetten voor grensverleggend onderwijs op het gebied van een maatschappelijk zeer relevant onderwerp binnen ICT? Dan zoeken wij jou!
Ransomware voorkomen? Begrijpen waarom je niet overal hetzelfde wachtwoord moet gebruiken? Met eigen ogen zien waarom updaten zo belangrijk is? Ontwaak je Hacker Mindset met de Certified Secure Security Awareness Experience - LIVE Online!