Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack

Cisco, Belkin, VMware, Nvidia en Intel zijn ook getroffen door de hack van SolarWinds, zo hebben die bedrijven toegegeven. De bedrijven hebben de hack in onderzoek. Ook het Amerikaanse ministerie van Financiën is getroffen.

De bedrijven zeggen vooralsnog geen aanwijzingen te hebben dat de hack hun producten, diensten of klanten treft, meldt The Wall Street Journal. Cisco zegt de malware te hebben aangetroffen op systemen van medewerkers en in laboratoria. VMware heeft de malware gezien, maar heeft geen aanwijzingen dat die is geëxploiteerd. Nvidia onderzoekt de zaak nog, maar zegt ook geen aanwijzingen te hebben dat de malware is misbruikt. Belkin claimt hetzelfde en zegt de malware te hebben verwijderd.

De malware in de update van Orion SolarWinds kwam ook binnen bij het Amerikaanse ministerie van Financiën, zegt CNN op basis van de verklaring van een politicus die op de hoogte is gesteld. Mailaccounts van medewerkers zouden zijn binnengedrongen via de malware. Dat gebeurde vanaf juli dit jaar.

De SolarWinds-hack kwam vorige week naar buiten. De hack kwam organisaties binnen via een update van de software Orion, een product dat het Amerikaanse SolarWinds levert. Dat achterdeurtje zat in een dll met een signature die rechtstreeks van de Orion-software zelf afkomt, zodat het niet gedetecteerd wordt als malware. Die dll legt een http-verbinding naar een externe command-and-control-server. Die malware doet de eerste twee weken niks, maar opent daarna pas de verbinding.

De aanvallers gebruiken tot voorheen onbekende malware genaamd Teardrop, die een payload binnenhaalt. Die payload is Beacon, een onderdeel van aanvalsimulatiesoftware Cobalt Strike. De aanvallers hebben Beacon aangepast om een brug te openen tussen de c&c-server en de malware zelf.

Door Arnoud Wokke

Redacteur

22-12-2020 • 07:56

87 Linkedin

Reacties (87)

87
80
40
2
1
22
Wijzig sortering
De vraag is: hoe hebben ze die update kunnen besmetten?
Niet onbelangrijk, lijkt mij, want als ze deze update kunnen besmetten kunnen ze dat wellicht ook met die van Microsoft, en alle andere software waar we regelmatig updates van krijgen.
M.i. zijn er twee mogelijkheden:
1- de ontwikkelaars hun machines zijn gehacked, wat ik de meest waarschijnlijke optie vind daar softwareontwikkelaars nogal eens een beetje nonchalant met de beveiliging omgaan, of
2- het is een inside job waarbij een ontwikkelaar veel geld is geboden
Volgens Solarwinds eigen onderzoek is de build server geinfecteerd https://d18rn0p25nwr6d.cl...632-89f1-eb8f932f6e94.pdf

Ook interessant, de analyse van microsoft.

Interessant om te lezen hoe de malware eerst een aantal tests doet, bijvoorbeeld om te kijken of er geen netwerk-analyse software draait. Ook is er al in oktober 2019 een proefversie uitgebracht die niets doet, alleen om te kijken of men de SolarWinds.Orion.Core.BusinessLayer.dll kon infecteren.

[Reactie gewijzigd door kzin op 22 december 2020 10:40]

Het rapport stelt dat "The vulnerability was not evident in the Orion Platform products’ source code but appears to have been inserted during the Orion software build process."

Om dat te kunnen doen moet je heel goed op de hoogte zijn van hun werkwijze, procedures en welke servers waar voor gebruikt worden. Toch een inside job dus?
Sowieso kijken er normaal gesproken meerdere ogen naar alle geschreven code voordat deze wordt uitgebracht. Je moet dus óf het stiekem voor elkaar krijgen om extra code te injecteren vanaf één account en het dan goedkeuren vanaf een ander, of op de build-omgeving terecht komen en daar simpelweg bij elke nieuwe build de extra code injecteren.

Je kunt dus wel een extra audit op alle code-veranderingen elke keer dat je een release uitbrengt én minimaal twee machines de binaries genereren en de hashes met elkaar vergelijken, maar uiteindelijk is ook dat weer te omzeilen door iemand die écht kwaad wilt. Ze moeten dan alleen op iets meer plekken inbreken (maar dat is ze de eerste keer ook gelukt dus zal zo spannend niet meer zijn).
Tja daar heb je het dan al:
Sowieso kijken er normaal gesproken meerdere ogen naar alle geschreven code voordat deze wordt uitgebracht.
Zie dit vaak genoeg fout gaan ondanks procedures die bij bedrijven aanwezig zijn. Ze zijn goed zolang ze gevolgd worden, maar hoe vaak heb ik dit zien gebeuren:
Ha Kees ik wil even een fix naar de master branch mergen, had foutje gemaakt met vorige wijziging. Keur jij die PR snel even goed? Moet namelijk snel naar productie!
Waarna zaken gemerged worden zonder goed te kijken. Maakt niet uit hoe groot een bedrijf is, of hoe lang ze bestaan, of wat voor klanten ze hebben. Een procedure hoeft maar 1x van afgeweken te worden en je hebt de poppen aan het dansen!
In dit geval is dus de infrastructuur de oorzaak. De compiler was de bron van de malware. daar helpt geen codereview of wat dan ook tegen.
Dat is het echte gevaar van van Agile. Eigen infrastructuur heeft nooit prioriteit omdat het geen bijdrage levert aan het product. tot het te laat is....
Hoe is agile hier een oorzaak van? Een van agile zijn kernwaarde is juist dat kwaliteit boven alles staat.
Niet dus. Daar zit m.i. dan ook een groot probleem in het agile rush-rush-rush model. Code reviews, maar met name architectuur trekken vaak aan het langste eind waardoor er onnodige complexiteit binnen een systeem wordt aangebracht - uiteindelijk resulterend in entropie. Maar dat geheel terzijde.
Of 2.5: een boze ex-werknemer die per abuis nog externe toegang had tot de build server of stiekem het pand heeft weten te betreden
je verwacht van zo'n security bedrijf toch wel dat de privesleutels airgapped zijn
Geld geboden? Het kan ook dat-ie opeens in de parkeergarage een pistool in zijn nek voelde... wat dat betreft is alles mogelijk.
Die vraag lijkt mij niet eens zo relevant, het was eerder wachten wie de eerste was....
Het is gebeurd, de vraag nu is: Hoe gaat (voornamelijk USA) hierop reageren?
Vooralsnog lijken ze nogal lauw te reageren, niet in de laatste plaats omdat de grote Leider weigert de beschuldigingen over te nemen en (waarom ook niet) de schuld aan de usual suspects chinezen geeft.
Terwijl zijn mensen incl tot voor kort vertrouweling Barr de Russen beschuldigen blijft het stil uit de hoek van Trump.
Het lijkt er dus op dat dit een van de dingen is die bij Biden op het bordje komen. Fijne erfenis krijgt die man...
https://www.ed.nl/tech/am...-cyberaanval-br~ae098b93/
Het geheel heeft, gezien de complexiteit en de raffiniteit, meer weg van een Mossad actie. Aan Israëlische sancties wil Trump zich niet branden: "laat mijn opvolger dat maar afhandelen"
Raffiniteit zou ik eerder in Ukraine zoeken dan in Israël. Kijk Zero Days nog maar eens. De mossad gedraagt zich vaak als een olifant in de porceleinkast...
De mossad gedraagt zich vaak als een olifant in de porceleinkast...
Dan heb je de Stuxnet aanval toch echt gemist.
Neen. Wat ik daarvan heb begrepen, is dat juist de Mossad hier de bal aan het rollen bracht. Waar de NSA probeerde om geruisloos binnen te komen, besloot de Mossad, volgens anonieme bronnen, uiteindelijk gewoon de knuppel in het hoenderhok te gooien: 4 Zero Day exploits erin en keihard loslaten op de wereld (in beginsel bij toeleveringsbedrijven van de nucleaire verrijkingsinstallatie in Iran).

Daarom dat ik stel dat de Mossad veel agressiever te werk gaat dan bv de NSA of Russische geheime dienst. Wellicht dat daar ook een andere agenda meespeelde: Israël wordt ervan beticht een oorlog met Iran te willen hebben uitlokken.
Terug hacken, oeps dat doet iedereen al.
Nog meer Russische sancties, 2de koude oorlog ?
Waarom "Russische" sancties? Voor zover ik dat kan opmaken uit de tekst was alle gebruikte software van "westerse" origine. Het geheel heeft, gezien de complexiteit en de raffiniteit, meer weg van een Mossad actie. Israëlische sancties zijn natuurlijk uit den boze.
Het geheel heeft, gezien de complexiteit en de raffiniteit, meer weg van een Mossad actie. Israëlische sancties zijn natuurlijk uit den boze.
Jij gelooft dat de Russen hier te dom voor zijn?
Russen hebben een technische cultuur waar dingen relatief simpel worden gemaakt. Dingen complexer bouwen dan strikt noodzakelijk past beter in andere culturen.
Russen hebben een technische cultuur waar dingen relatief simpel worden gemaakt. Dingen complexer bouwen dan strikt noodzakelijk past beter in andere culturen.
Dan moeten de Russen er wel achter zitten want de operatie was niet complex genoeg om het verborgen te houden.
de operatie was niet complex genoeg om het verborgen te houden.
Toch slim genoeg om zo'n negen maanden verborgen te blijven bij zwaar beveiligde systemen: Pentagon, VS min. Financiën, enz.. Daarna bij toeval ontdekt (lijkt een beetje op de stucknet aanval)
Tja men moet iemand de schuld geven dus Rusland.
In een van de eerdere discussies was er iemand die een link plaatste naar een artikel waarin werd besproken dat er wat gehacked/gelekt was qua het github account van Solarwinds, waarop het een en ander staat qua SW producten, waaronder Orion. Ik kan de link zo niet vinden, maar dit geeft ook aan dat het hiermee begonnen kan zijn:
https://securityboulevard...he-software-supply-chain/
Zullen vast wel meer bedrijven komen nog die geraakt zijn.
OCD Modus: VMware is met kleine W :)
/edit, verkeerd gelezen, sorry.

On topic: Ik weet niet op welke schaal we eerder zo'n grote hack hebben gezien (ten minste, zo openbaar).
Maar persoonlijk vind ik dit wel veel verder gaan dan alleen even hacken.. Gezien de doelwitten lijkt mij dit bijna een oorlogsverklaring. Al mocht blijken dat dit geen staatshackers zijn, dan nog moeten deze mensen verantwoordelijk worden gehouden. En alle pijlen richten zich op rusland...

Ik weet wel dat fysieke oorlog wordt vermeden maar zo ondertussen zitten we wel in een nieuwe digitale koude oorlog...

[Reactie gewijzigd door dycell op 22 december 2020 09:02]

"zo ondertussen" ... volgens mij wordt er al jaren over en weer gehackt en is het in dat opzicht allang oorlog, hij is alleen een stuk minder zichtbaar en er vallen niet direct heel veel doden, maar de informatie oorlog is al een tijd gaande naar mijn idee.
Nou, zaken waren toch wel wat subtieler hoor. De doelwitten nu zijn extreem:

The US Treasury and departments of homeland security, state, defence and commerce were attacked, reports say.

The US Energy department which is responsible for managing America’s nuclear weapons is the latest agency to confirm that it has been breached in the SolarWinds cyber attack.


Er is een grens natuurlijk wat betreft spionage.
Is er een grens wat betreft spionage.

Denk dat ieder land dat dit soort bugs in een software kan uitbuiten dat ook zal toen en daarin heel ver zal gaan. Is men hier te ver in gegaan. Geen idee. Het laat natuurlijk wel de afhankelijkheid zien van netwerken en de zwakste schakel daar in.

Maar ja als je als hackersgroup toegang kan krijgen tot systemen waar je normaal alleen kan van dromen is het alsof de snoepkast wagenwijd openstaat. Ze moeten veel overuren gemaakt hebben om al die data te verkrijgen want het zijn heel veel bedrijven.
Er is een grens natuurlijk wat betreft spionage.

Ben me bewust van oorlogsconventies maar wist niet dat er ook grenzen bestaan voor spionage en/of digitale oorlogsvoering? Is daar ergens meer over te lezen of neem ik je nu te letterlijk?
Je neemt mij te letterlijk en die grens wordt natuurlijk bepaald door dat oranje hoofd in het witte huis ;)
Mijn vraag is meer hoeveel men nog kan tolereren. Als ze tegenwoordig al inbreken op je nucléaire hoofdkantoor, je verkiezingen massaal manipuleren en je industrie ondermijnen (en industrie is alles voor de US).

Een digitale oorlog conventie zou niet verkeerd zijn.
Hmmm...
Zoals voorheen vernoemd: kijk "Zero Days" nog eens.
Dan zul je zien dat dit "de normale gang van zaken" is geworden.
Blijkbaar heeft de NSA de gehele kritieke infrastructuur van Iran al geinfiltreerd.
Dat dat nu binnen de USA gebeurt, daar kon je op wachten, natuurlijk.
Klik nog eens op je eigen link ;)
Verkeerd gelezen, aangepast en dank!
Wat ik nog niet begrijp is dat er denk enkele honderden bedrijven in Nederland gebruik maken van Solarwinds Orion. Maar er is geen enkel bericht te vinden van bedrijven in Nederland die ook deze malware binnen hebben gehad/gekregen.

Is de reden dat dit nog in onderzoek is of is dit gewoon een doofpot? Om vooral geen business te verliezen?
Die Russen hadden een paar high value targets op de korrel. En daar zijn ze via een supply chain attack binnen gekomen. Veel andere bedrijven gebruiken de Orion software en zijn dus infected, maar geen target van de Russen.
Die Russen hadden een paar high value targets op de korrel. En daar zijn ze via een supply chain attack binnen gekomen. Veel andere bedrijven gebruiken de Orion software en zijn dus infected, maar geen target van de Russen.
'nog' niet ....
Maar bijvangst is ook vangst.
Wat momenteel niet interessant is, kan dit over een jaar wel zijn.
En als ze dan een ingang nodig hebben naar één of ander hospitaal ( er ligt een dissident met vergiftiging op de zaal ) is het wel handig om dat alvast te hebben.

Cozy Bear is geen unit die 'per ongeluk' iets doet, die embedden en laten de boel lekker kalm en met rust, tot HET moment daar is.
Wat ik nog niet begrijp is dat er denk enkele honderden bedrijven in Nederland gebruik maken van Solarwinds Orion. Maar er is geen enkel bericht te vinden van bedrijven in Nederland die ook deze malware binnen hebben gehad/gekregen.

Is de reden dat dit nog in onderzoek is of is dit gewoon een doofpot? Om vooral geen business te verliezen?
Je moet een breach melden aan de betreffende instanties ( het AP ) , het hoeft niet in de journaalberichten te komen.
Er is geen directe informatieplicht naar het grote publiek, hoogstens naar de getroffen gebruikers/klanten van dat bedrijf.
De nieuwswaarde komt pas als dat gebeurt is.

[Reactie gewijzigd door FreshMaker op 22 december 2020 09:03]

Ok dus begrijp ik het goed dat als er nu een bedrijf is dat gebruik maakt van deze software ze de breach eigenlijk hebben moeten melden bij het AP?

Stel je wordt als klant niet geinformeerd dat jouw IT service partij die deze software gebruikt geinfecteerd is wat zijn dan je rechten?
Een bedrijf heeft maar de plicht om het te melden als ze er van op de hoogte zijn... en je kan van de opa die CEO is toch moeilijk verwachten dat ze zelfs maar flauw benul hebben over deze hack ...
Een CEO is verantwoordelijk voor bedrijfsvoering. Veiligheid is onderdeel van bedrijfsvoering. Geloof maar dat CEOs hiermee bezig zijn.
Met een infectie op een patch is de eerste slag om te kijken naar de klanten die de bijgaande software gebruiken. Die zijn mogelijk geïnfecteerd. Maar als de klanten niet zo snel zijn met patchen, dan is de patch nog niet geïnstalleerd. En er zijn mogelijk ook klanten die nog wel op de klanten lijst staan maar het product niet (meer) actief gebruiken.

Wil je als bedrijf te boek staan als trouw patcher, dan meld je ook snel dat je ook geïnfecteerd bent.
Wil je als bedrijf te boek staan als voorzichtig op alle vlakken: dan meldt je dat je niet geïnfecteerd bent.

In alle gevallen heb je wat uit te leggen en het is maar net welk imago je wilt/wenst.
Beetje beangstigend dat VMware getroffen is, wie gaat er nu garanderen dat de aankomende updates die ik MOET draaien om bij te blijven t.a.v. mijn onderhoudscontract veilig zijn? Ik moet er niet aan denken dat mijn hele infrastructuur hiermee een open boek is.
Beetje beangstigend dat VMware getroffen is, wie gaat er nu garanderen dat de aankomende updates die ik MOET draaien om bij te blijven t.a.v. mijn onderhoudscontract veilig zijn? Ik moet er niet aan denken dat mijn hele infrastructuur hiermee een open boek is.
Niemand gaat dat garanderen. In de EULA zal ook al een clausule hebben gezeten van die strekking, waardoor je als bedrijf al bij voorbaat kansloos bent met een schade-claim.

Je zult moeten afwachten wat VMware er van gaat maken.
Als ze het grondig aanpakken dan vinden ze het moment van infectie; pakken ze een backup van hun broncode terug van voor dat moment; diffen ze alle wijzigingen tevoorschijn die sindsdien gemaakt zijn; en gaan ze er met een fijne kam doorheen. Maar dat kost tijd; moeite; en vooral geld.

Kijk er niet vreemd van op als het blijft bij een excuusbrief en dat het een rondje "een glas; een plas; en alles blijft zoals het was" wordt.
Wie verplicht jou om te patchen/updaten en waarom? Wat is jou patch/update procedure? Volg je blind alle patches en updates? Dan ga je blind door.

Heb je een reële patch procedure met eerst installeren op acceptatie omgevingen en daarna pas in de productie, dan heb je nu een extra reden om de patches niet blind door de acceptatie heen te loodsen maar heb je een betere reden om de patches nader te controleren.
Zoals ik aangeef, om mogelijk support te kunnen krijgen vanuit VMware dien je tot een bepaalt niveau mee te gaan met je updates. Nergens zeg ik dat ik klakkeloos alles doorvoer en dat ik mogelijk over bepaalde resources beschik zoals je aangeeft.
Die updates hoef je pas te installeren als je problemen hebt. Dan is het eerst patchen/updaten en zien of je problemen zijn opgelost. Zo niet, dan kan je altijd nog naar VMware.
Natuurlijk moet je niet wachten tot je problemen hebt. Maar ervaring leert dat snel patchen ook problemen introduceert. Een gouden optimum heb ik niet, maar ergens tussen 1 keer per maand en 1 keer per jaar lijkt mij reëel. En dan in productie 1 of 2 maanden achter acceptatie aan.
Men moet software eens fatsoenlijk onder de loep gaan nemen, en ipv iedere week aan tafel allemaal nieuwe features verzinnen en bedenken eerst het oude future-proof maken. Ik denk dat op die manier de software en updates, een stuk veiliger verlopen dan wat nu het geval is.

Bedrijfskritische omgevingen hebben we het hier over.
Je kan tot in den treure gaan perfectioneren, maar daar is geen bedrijf op te bouwen.

Software moet vooruit. Nieuwe features, nieuwe UI, etc. Als dat niet gebeurd lijkt het alsof de software stil staat en dan kan men snijden in het budget.

Zo werkt het veelal in de echte wereld.
Nieuwe features, ok, maar het gros van de gebruikers zit echt niet te wachten op die constante UI wijzigingen heb ik zo de indruk. Ik ben er ook geen fan van.
Klopt maar als je alleen wijzigingen onder de motorkap maakt dan zijn er geen visuele wijzigingen voor de klanten en dan voelen ze niet dat er iets te upgraden is. Versie lijkt nog hetzelfde dus waarom zou ik upgraden?! Is meer een psychologisch iets.
Bijkomende functionaliteit vereist meestal wel aanpassingen in de UI, maar ik heb het eerder over om de zoveel tijd de UI volledig omgooien. Evolueren omdat het "moet", niet omdat het een meerwaarde biedt.
Waarom veranderen mensen soms het interieur van hun huis? Omdat ze wat nieuws willen.

Websites veranderen door de tijd heen toch ook? Omdat we wat nieuws willen.

Zo gaat het met software precies het zelfde.

Je kan niet eindeloos onder de motorkap bezig zijn met perfectioneren, want dan kan je als bedrijf geen geld verdienen.
10 tegen 1 dat de meubelen wel nieuw zijn, maar ze op precies dezelfde plek gezet worden. Eigenlijk een cosmetische verandering, geen structurele.

Vb. Tesla, voorheen was het makkelijk stoelverwarming achter aan te zetten, in de latere versies is het verplaatst in de UI. Bandenspanning controle reset, idem. Etc. Ik werd er niet blij van.
Maar de gasten die aan de UI werken, zijn toch niet dezelfde gasten die aan bv. security en certificaten werken. Ik ben zeer benieuwd of er hacks zijn geweest via een 'lek' in de UI...
Nee maar als je een paar UI-developers ontslaat dan heb je weer budget voor een paar extra security mensen om eens kritisch naar de code te kijken.
Dat zou je kunnen doen, maar dan nog had dit waarschijnlijk niet dit issue gefixed.
Niet altijd, bedrijven lopen tegen gebruikers aan die het niet meer mee kunnen volgen, software en wat het doet neemt steeds meer complexiteit met zicht mee. Er zijn nu zachtjes aan bedrijven aan het komen die de vernieuwingswoede aan het verminderen of stoppen zijn.

Deze bedrijven keren terug naar de kern van hun proces en laten de 'hosanna's en beloftes' die de IT met zich meebrengt achter zich.

Zelfs ik krijg letterlijk de schijt van de hoeveelheid veranderingen die alleen al office met zich mee brengt en war je niet op zit te wachten omdat het mijn eigen primaire processen en workflow steeds in de weg zit.
Dat levert niets op. Zelfde met de IT afdeling in het algemeen, doet het zijn werk en zie je ze niet dan is het al gauw: "wat leveren ze nu eigenlijk op? Ik zie ze nooit".

Nieuwe features zijn nieuwe manieren om centjes binnen te halen, zo simpel is het. "Betere" software dat niet in het oog springt verkoopt niet.
Volgens mij begrijp je dan niet helemaal hoe Solarwinds werkt, er komen constant nieuwe devices uit, nieuwe metrics, etc. Daar is een software update voor nodig. In de 2020.2 update zijn deze devices er bij gekomen: https://documentation.sol...ndors-added-in-2020-2.htm (en als je niet wilt klikken, dat is een vrij grote lijst).

Grote bedrijven hebben vaak ook nieuwe apparatuur staan en zullen dus ook een beetje bij moeten blijven.

Dan heb ik het niet eens over beveiligingsupdates. Als we die er nog eens bijnemen (de obvious update zonder de backdoor niet eens meegenomen) dan ben je eigenlijk wel verplicht altijd te updaten.

Als je dan een hacker(groep) hebt die je updates heeft gekaapt en daar een trojan in plaatst. Ja dan ben je redelijk f...ed.

Hadden Solarwinds dit beter kunnen achterhalen? Waarschijnlijk wel, maar tegelijk is het wel zo dat je nooit alles kan dichttimmeren. En omdat het kapen van je update systeem niet waarschijnlijk was geacht (denk ik), hebben ze daar (te weinig) effort in gestoken.
Tja geval van de zwakste schakel die heel erg ver weg zat maar toch gevonden is.
Dit was een targeted supply chain attack (een van de meest complexe en moeilijk te detecteren hacks), uitgevoerd door de Russische overheid (een van de beste hackgroepen ter wereld). Dit is niet even een scriptkiddie die een paswoord gokt, dit is een van de meest geavanceerde infiltratie technieken die momenteel bestaat.

Ik durf vrijwel te stellen dat als je een committed adversary hebt, hier vrijwel niet tegen te bewapenen is.
Dat is de eenvoudige stap 1 inderdaad. En dit is ze zeker kwalijk te nemen omdat credentials uit een commit scubben een opgelost probleem is. Dat wil zeggen dat als je industry practices volgt, je niets te vrezen hebt. Maar beschermen tegen het injecteren van exploitcode die het tot productie haalt, gedistribueerd worden via legitieme kanalen en een attack vector creëert binnen een high profile target hebben we niet veel eerder gezien.
Klopt, een enkele keer zie je het ook bij open source, maar daar kijken soms zoveel mensen mee dat het toch gezien word.

Wat ik zelf meemaak met ontwikkelaars waar ik mee te maken heb is dat hun systemen zover zijn dichtgebouwd dat men met eigen computers gaat werken om nog een werkbare omgeving te hebben, dan doe je tocht iets niet goed, en dit is een grote speler in de markt ;)
En vervolgens ga je hierboven zonder enige onderbouwing meermaals naar Israël wijzen?
Ik heb zn reactie 3x gelezen, maar waar zie jij het woord "Israel"staan in zn post?
In andere reacties van hem op dit nieuwsbericht
Dank, de rest van de reacties had ik nog niet gelezen
Bron vd geleerden aub? Ik werk zelf als security engineer. APTs waar ik en mijn team lucht van krijgen komen over het algemeen uit: Rusland en buurlanden, China, Iran en Noord Korea waar elk land ook kenmerkend hun eigen motieven heeft. Kenmerkend voor "Russische" APTs is juist het hacktivism, a.k.a staats hackers met een politiek motief, zie ook Maersk hack (Kazach, ukraine, Belarus even meegenomen). Deze APTs zijn echt wel serieus verfijnd en niet een stel slavs met Vodka onder hun arm in hun Adidas pak terwijl ze wat op hun toetsenbord rammen.
Ik begrijp juist nooit zo goed waarom sommige Tweakers hier direct in de verdediging schieten en denken dat Rusland wordt zwart gemaakt. Het is zeer waarschijnlijk gewoon APT29 a.k.a Cozy Bear en zij waren destijds ook de aanvallers op Maersk, deze gasten zijn serieus, verfijnd, georganiseerd en doen menig SOC in hun hemd laten staan.

Cobalt Strike wordt door genoeg Russische APTs gebruikt. Zoek voor de grap maar naar Cobalt Group.
Het is simpelweg uitstekende C2 software welke ook erg toegankelijk is.

Denk je ook dat Russische/Chinese/Iraanse hackers het metasploit framework bijvoorbeeld niet gebruiken? Laat staan Kali Linux.
Het heeft geen drol te maken met waar de software vandaan komt, ook hackers gaan niet het wiel opnieuw uitvinden.
In een later nieuwsitem hier op Tweakers staat een bericht over VPN servers in Rusland die gebruikt kunnen worden voor het opzetten van cyberaanvallen naar andere landen. Het eerste IP adres wat bij onderzoek opdaagt is "Rusland". Dit komt goed uit en wordt onmiddellijk gebruikt om de "vijand" aan te wijzen. Als later blijkt dat dit onjuist was: jammer, geen nieuws meer.
Recent nog een boek gelezen over dit onderwerp genaamd 'Het is oorlog maar niemand die het ziet'. Zul je zien dat de Russen er toch dieper in zitten dan je denkt.
Wie had volgens jou wat moet doen dan?
waar lees jij dat het om nieuwe features gaat?

Oude software en code is nu eenmaal veel moeilijker te onderhouden, vaak omdat de originele schrijver er niet meer is. Als je dan eerst nog moet gaan uitpluizen wat de code exact doet om dan te gaan zoeken naar mogelijke exploits, dan ben je veel tijd kwijt die vaak geen resultaat heeft. Als het om software gaat waar nog support op gegeven wordt, is dat natuurlijk een andere zaak, maar dan nog kan je in situaties zitten dat support niet genoeg oplevert (veel mensen gaan er maar van uit dat die gratis is) en er dus nieuwe features en producten moeten worden ontwikkeld om in business te kunnen blijven.
Ook jij moet je bewust zijn van de risico's. Iedereen moet patchen. Maar niet allemaal tegelijk en blind de leverancier volgen. Met een grotere omgeving is het reëel om een langere periode te gebruiken om patches in te voeren.

Deze hack op de patch omgeving leert dat een patch vertraging van een half jaar voor productie systemen misschien lang duurt maar in dit geval wel heeft beschermd.

Aan de andere kant: De hackers zijn er waarschijnlijk van uit gegaan dat de patches binnen een half jaar wel zijn geïnstalleerd. Daarom hebben ze na een half jaar hun slag geslagen. De volgende hack zal langer op zich laten wachten. Geduld is een schone zaak.
Via Orion Solarwinds zijn veel klanten besmet geraakt.
Maar wat nu als de nog niet geïsoleerde machines een payload binnenkrijgen om een crypto te starten?

Geloof dat ze dan ook behoorlijk wat kunnen gaan verdienen, aangezien behoorlijk wat bedrijven de pineut lijken te zijn van deze infectie.
Ze moeten broncode van update mechanieken gewoon inzichtelijk maken voor bedrijven die er gebruik van maken. Dan is het risico te spreiden denk ik.
Het update mechaniek is niet het probleem. De hackers wisten code te inserten in een gesignde library. Dus in het ontwikkelproces. Ze hadden hele diepe toegang.

Tenzij je de code byte voor byte gaat uitpluizen wat de werking is, zal de ge-inserte code vrijwel niet te onderscheiden zijn van legitieme Orion code.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee