image

Microsoft-topman: SolarWinds meest geavanceerde aanval ooit gezien

maandag 15 februari 2021, 11:02 door Redactie, 12 reacties

De aanval via de software van SolarWinds is de meest geavanceerde aanval ooit gezien, zo stelt Microsoft-topman Brad Smith. Volgens de president van Microsoft hebben zeker meer dan duizend engineers aan de aanval meegewerkt. Dat liet Smith gisteren tijdens een interview met CBS 60 Minutes weten.

Aanvallers wisten in 2019 toegang tot het netwerk van softwarebedrijf SolarWinds te krijgen. Het bedrijf levert oplossingen waarmee bedrijven en overheden hun it-omgeving kunnen beheren. De aanvallers gebruikten hun toegang om officiële updates voor de Orion-software van SolarWinds van een backdoor te voorzien. Deze besmette updates werden wereldwijd door 18.000 bedrijven, organisaties en overheden geïnstalleerd. Bij een selecte groep slachtoffers werden er via de backdoor aanvullende aanvallen uitgevoerd.

Microsoft heeft volgens Smith vijfhonderd engineers ingezet om de aanval te onderzoeken. De aanval zelf zou door meer dan duizend engineers zijn opgezet, zo stelt de Microsoft-president. Wie erachter de aanval zit kan Smith niet zeggen, maar volgens hem is het duidelijk dat het om een buitenlandse inlichtingendienst gaat. Hoewel de aanval nu is ontdekt is het bijna zeker dat de aanvallers aanvullende backdoors hebben toegevoegd en andere netwerken hebben besmet, ging Smith verder.

De topman noemt de aanval ook roekeloos. "De wereld draait op software. Het draait op informatietechnologie. Maar dat kan het niet met vertrouwen doen als grote overheden de software supply chain op deze manier verstoren en aanvallen."

Reacties (12)
15-02-2021, 11:30 door Anoniem
Qua geavanceerdheid zet ik Stuxnet nog net een stapje hoger .

Dat aantal van 1000 engineers klinkt ook erg hoog.
15-02-2021, 12:06 door Anoniem
Door Anoniem: Qua geavanceerdheid zet ik Stuxnet nog net een stapje hoger .

Dat aantal van 1000 engineers klinkt ook erg hoog.

Ben ik niet met je eens. Vanwege dat de centrale volledig airgapped was moest er physieke toegang verleend worden. Dat maakte het complete verhaal organisatorisch wat complexe maar de backdoor anzich niet. Er was bekend welke hardware er aanwezig was (was ten slotte in duitsland ingekocht) en dat maakte hat maken van de backdoor relatief makkelijk. Hier hebben we niet te maken met een airgapped situatie maar moest de backdoor wel onder de radar actief kunnen zijn. Is vele malen complexer!
15-02-2021, 13:34 door Anoniem
weer 1 die er geen bal van snapt
15-02-2021, 14:47 door Anoniem
Is er al bekend geworden hoe ze eigenlijk bij SolarWinds naar binnen zijn gekomen?
15-02-2021, 14:52 door Anoniem
De wijzende vinger zal wel weer gaan naar "the usual suspects" China, Rusland, Noord-Korea of Iran. Want wij in het Westen zouden nooit de boel willen saboteren, toch? Nee, want zo zijn wij niet. KUCH!
15-02-2021, 15:14 door Anoniem
Door Anoniem: weer 1 die er geen bal van snapt
Vertel! Als jij meer weet, horen we dat graag.
15-02-2021, 16:52 door Anoniem
Door Anoniem: De wijzende vinger zal wel weer gaan naar "the usual suspects" China, Rusland, Noord-Korea of Iran. Want wij in het Westen zouden nooit de boel willen saboteren, toch? Nee, want zo zijn wij niet. KUCH!
Momenteel is de hoofdverdachte Turla (Venomous Bear) i.v.m. vergelijkbare code tussen de SunBurst backdoor en de Kazuar backdoor. Dus ja, Rusland inderdaad. Mocht je zelf aanwijzingen hebben dat het een andere club is, houd ons vooral niet in spanning, en deel je bevindingen.
15-02-2021, 16:53 door Anoniem
Door Anoniem: weer 1 die er geen bal van snapt
Welk deel begrijpt hij niet?
15-02-2021, 18:12 door Anoniem
Door Anoniem:
Door Anoniem: Qua geavanceerdheid zet ik Stuxnet nog net een stapje hoger .

Dat aantal van 1000 engineers klinkt ook erg hoog.

Ben ik niet met je eens. Vanwege dat de centrale volledig airgapped was moest er physieke toegang verleend worden. Dat maakte het complete verhaal organisatorisch wat complexe maar de backdoor anzich niet. Er was bekend welke hardware er aanwezig was (was ten slotte in duitsland ingekocht) en dat maakte hat maken van de backdoor relatief makkelijk. Hier hebben we niet te maken met een airgapped situatie maar moest de backdoor wel onder de radar actief kunnen zijn. Is vele malen complexer!

Uh, Stuxnet moest zich ook niet al te hard rondtoeteren.
En moest ook onder de radar blijven bij de centrifuge management/monitoring systemen , en de monitoring data faken zodat niet zichtbaar werd dat er slecht gecentrifugeerd werd.

Er moest uberhaupt uitgevonden worden _dat_ die dingen daar gebruikt werden. Gekocht in Duitsland wil niet zeggen dat duidelijk is wat /waar het gebruikt ging worden. Dat was al een dubieuze export - die blijkbaar herkend was.

Het achterhalen van het Solarwinds systeem landschap lijkt me toch echt _heel veel_ simpeler dan het achterhalen van het systeemlandschap van het Iraanse kernwapenprogramma . Aan de builds is al genoeg te zien over de buildserver(s).
En een Microsoft development/build omgeving is bepaald niet obscuur of moeilijk te repliceren.

Hoe de breach bij Solarwinds gegaan is weten we nog niet - maar een 'verkennende insider' daar plaatsen - gewoon solliciteren met een goed CV en goed werken - is beslist makkelijker dan een insider plaatsen/vinden in een geheim wapenprogramma.
15-02-2021, 18:15 door Anoniem
Door Anoniem: De wijzende vinger zal wel weer gaan naar "the usual suspects" China, Rusland, Noord-Korea of Iran. Want wij in het Westen zouden nooit de boel willen saboteren, toch? Nee, want zo zijn wij niet. KUCH!

Dat doen we ook , alleen waarschijnlijk niet zo snel bij spullen die "we" zelf gebruiken...

Als gevorderde complot denker kun je inderdaad speculeren dat een geheime dienst iets saboteert waar tig ministeries van het eigen land last van hebben om 'de vijand' te laten denken dat het iemand anders was , ofzo .
15-02-2021, 22:54 door karma4
Als solarwinds met uitbestedin outsourcing de weg voor foute hackers zelf zo gemakkelijk maakt snap ik die geavanceerdheid niet.
De woordvoerder van degeen achter die beslissing? Dan is die uitspraak te begrijpen. R.Hamers wist ook zogenaamd niets van het gebrekkige tegengaan van witwassen.
16-02-2021, 18:14 door Anoniem
Heeft Rian van Rijbroek al een reactie gegeven? Waarom geen gebruik maken van haar 'expertise'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.