NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack

The New York Times schrijft dat 'zeker 250 bedrijven en overheidsinstanties' getroffen zijn door de SolarWinds-hack die in december aan het licht kwam. De krant baseert dat getal op gesprekken die het heeft gevoerd met sleutelfiguren die de hack onderzoeken.

De getallen komen onder andere van Microsoft en Amazon. De eerste schattingen waren dat er slechts 'een aantal dozijnen' aan netwerken binnengedrongen waren, maar dat lijkt nu verre van het geval. Verder stelt de krant dat het gebruikmaakte van Amerikaanse servers om hun aanvallen te coördineren, omdat het de Amerikaanse NSA officieel verboden is om surveillance binnen zijn eigen landsgrenzen uit te voeren. Ook werd de nadruk op beveiliging van de Amerikaanse presidentsverkiezingen gebruikt om juist andere doelwitten te benaderen.

SolarWinds, het Texaanse bedrijf dat de gehackte Orion-netwerkmanagementsoftware leverde, heeft volgens het Amerikaanse dagblad een 'voorgeschiedenis van tegenvallende security-updates'. Het bedrijf zou op security bezuinigd hebben om de winstmarge te vergroten. In het kader daarvan zou een deel van de software-ontwikkeling ook uitbesteed zijn aan landen in Oost-Europa, waar wellicht de aanvankelijke intrusion heeft plaatsgevonden. De redenering van de krant is dat de Russische geheime diensten daar dieper geworteld zijn. Dat de Russische staat of een Russische partij achter de hack zit, staat overigens niet vast.

De hack op SolarWinds en zijn veelgebruikte Orion-netwerkmanagementsoftware kwam in december aan het licht toen securitybedrijf FireEye aan de bel trok. De Amerikaanse autoriteiten hadden de supply chain attack tot op dat moment nog niet door. Onder de getroffen bedrijven zit ook Microsoft; het bedrijf zegt dat een deel van zijn broncodes zijn ingezien, maar alleen met read access en het is niet duidelijk of de code is geëxporteerd. Cisco, Belkin, VMware en Intel zijn ook getroffen door de hack.

Via de Wayback Machine is te zien wie SolarWinds nog meer als klant mocht rekenen: 'Meer dan 425' van de 500 invloedrijkste bedrijven uit Amerika, de tien grootste telecomproviders in Amerika, de vijf takken van het Amerikaanse leger, de vijf grootste accountantsbedrijven, honderden universiteiten en hogescholen wereldwijd, NASA en heel veel Amerikaanse overheidsinstellingen. Klant zijn betekent nog niet dat een instantie echt getroffen is: het moet dan een kwetsbare versie van Orion draaien en die moet ook nog uitgebuit worden.

Door Mark Hendrikman

Redacteur

03-01-2021 • 12:40

32 Linkedin

Reacties (32)

Wijzig sortering
Dus als leek.... Alle bedrijven die überhaupt in aanmerking komen voor beveiliging van zulke grote partijen zijn zelf ook heel erg groot. Daardoor zijn er uiteraard maar een paar spelers. Door de hele America / Rusland / China neemt dat aantal spelers uiteraard nog verder af. Dit hele grote beveiligingsbedrijf wil een goede winst (beursgenoteerd?) En dus snijd het her en der een hoekje af zoals alle grote bedrijven die hier genoemd zijn. Karma? Koekje van eigen deeg? Gevolg van de altijd maar durende drang naar meer meer meer winst?
Solarwinds is geen beveiligingsbedrijf en het pakket Orion (waar het probleem mee is) heeft op zich niets met security te maken maar is een uitgebreide monitor en beheertool voor zowel computers (servers) als netwerk equipment (switches routers firewalls etc). Orion moet toegang hebben tot alle systemen om ze te monitoren en beheren. 'Vroeguh' nam je genoegen met enkel snmp access en monitorde je performance op die manier (bv cpu%, memory used%, bandbreedte etc etc) en sommige beheertaken kon je doen met snmp write access.
Maar over de jaren pakten ze meer en meer functies in die het noodzakelijk maakten dat Orion ook software op de servers plaatsten om meer te kunnen sturen en monitoren. Omdat veel AV software dr acties van systemen als Orion als potentieel verdacht zouden zien is vaak het advies (of soms zelfs eis) om acties van Orion te whitelisten in de AV software en Orion mocht dus vaak alles op systemen zonder dat AV software dat rapporteerde.
Als dan vrrvolgens kwaadwillenden het lukt om een component van Orion te kapen en via het update platform een virus te verspreiden welke digitaal ondertekend is als originele Orion component dan heeft men 100% access tot de netwerken waar ze Orion gebruiken. En de foute sw kwam pas na een tijdje in werking (dus lastig achteraf na te gaan hoe en wanneer systeem gecomprimeerd was) en werd gebruik gemaakt van host/domeinnamen die op 1e gezicht geldig en normaal leken. Ook hadden de externe c&c servers niet allen onschuldig/correct lijkende urls maar waren de servers ook in het eigen land: een geinfecteerd netwerk in Belgie maakte contact met c&c server in Belgie en idem in USA. Als je firewalls extern verkeer monitorden op land ging er geen alarm af. En het verkeer met de cc server leek normaal orion verkeer dat wel terecht was.
Absoluut niet een knutselproject van hobbyisten...
Een pakket wat zoveel toegang eist van beheerde machines en waarvan gevraagd wordt om alle acties te whitelisten in AV moet extreem goed beveiligd zijn tegen indringets in de zgn supply chain; en daar schoot Solarwinds erg tekort. Net zoals bijv Microsoft ervoor moet zorgen dat een buitenstasnder niet een nep Windows update digitaal als 'echt Microsoft' mag kunnen ondertekenen en vervolgens via de MS download sites verspreiden had Solarwinds dat ook moeten doen. Bv door een waterdichte procedure om updates te ondertekenen met digitale handtekening en vervolgens als echte update op de download site te zetten. Ergens was de procedure lek en kon iemand blijkbaar beide stappen doen zonder enige check.
Bedrijfsprocessen moeten dat onmogelijk maken en er moet actief bewaakt worden dat er geen onbekende updates op het netwerk staan: dit vereist actief (en kostbaar) werk dat niets direct opbrengt en bovendien publiceren van updates minder flexibel en duurder maakt... maar als je dat proces niet constant nauwkeurig monitord kan het dus heel fout gaan.
Werk zelf bij it bedrijf die veel levert aan us federal govmnt zoals leger en buza en weet hoeveel ze eisen om zaken met ze te mogen doen; Solarwinds zal veel in hun processen moeten aanpassen om fedgov als klant te houden. (Hopelijk zal vs na 20jan niet meer ziende blind zijn voor acties van Putin cs zoals de afgelopen 4 jaar)

[Reactie gewijzigd door tonkie_67 op 3 januari 2021 20:40]

Wat betreft de supply chain: die heeft zelfs Microsoft dus ook niet op orde? Ze zijn immers gehackt doordat ze software gebruikten van een bedrijf dat Microsoft niet had moeten vertrouwen, Solar Winds. Zie hier het probleem van de meeste grote organisaties, inclusief b.v. de NSA.
Het wachtwoord van de update server instellen op "solarwinds123" heeft denk ik weinig met winst te maken, maar vooral met luiheid en onkunde.

Uiteraard is het onvoldoende controleren op dat soort fouten wellicht wel weer een gevolg van bezuinigingen, maar ook die duiden mijn inziens dat toch weer op luiheid en onkunde. Uiteindelijk is er gewoon geen goed excuus voor dit soort dingen.
Dit zou eigenlijk bij de bron al aangepakt moeten worden. Waarom is het überhaupt mogelijk om zo'n simpel wachtwoord in te stellen? Volgens mij zouden fabrikanten dit soort zaken al moeten inbouwen in de software, zodat gebruikers gedwongen worden om een sterk wachtwoord + eventueel 2-factor erop te gebruiken.
Het probleem met complexiteitsvereisten is dat er eenvoudig rondgewerkt kan worden. Wil je er minstens een hoofdletter en een speciaal teken bij? Solarwinds123! . Langer maken? Dan voer je een extra cijfer toe enzoverder.

Een goed beleid zou zijn om ofwel goede 2FA toe te voegen zoals je aangeeft of om belangrijke wachtwoorden in een goed beheersysteem te zetten met priviliged account management zodat wachtwoorden automatisch complex worden gemaakt en na eenmalig gebruik automatisch veranderd worden. En dat soort van systemen vereist meestal dat je een security team hebt dat weet hoe zoiets verkocht moet worden aan management of dat vanuit management voldoende vrijheid heeft gekregen om het gewoon te implementeren.
Ik mag hopen dat u een grap maakt?
Het wachtwoord van de update server instellen op "solarwinds123" heeft denk ik weinig met winst te maken, maar vooral met luiheid en onkunde.
Als je als bedrijf personeel in dienst neemt dat onkundig is en er ook niet voor zorgt dat er controle tegen onkunde of luiheid is, en vervolgens ook nog maanden niet weet (of voorkomt) dat je updates met een achterdeur aan je klanten verstrekt en je een deel liever in landen met goedkopere werkkrachten laat doen dan heeft dat hoe dan ook met winst te maken.
Kijk, met bezuinigingen kun je inderdaad niet alles goed controleren, maar een wachtwoordcontrole valt onder de basis. Als dat niet gecontroleerd wordt, dan is er gewoon 0 dollar uitgegeven aan beveiliging in plaats van simpelweg bezuinigd.
Als het om een min of meer publieke update service gaat en dat account heeft alleen leesrechten waar het hoort is er nog niet zo veel aan de hand. Windows update vraagt helemaal geen wachtwoord, en met goede redenen. Verspreiding van van security fixes is belangrijker dan piraterij bestrijden. Dat je zonder veel moeite bij updates kan is het probleem niet.

Het probleem hier is dat de aanvallers controle kregen over de systemen achter de update services, en daarmee wat je binnenhaalde met je solarwinds123 wachtwoord.
Het bedrijf zou op security bezuinigd hebben om de winstmarge te vergroten.
Welkom in het kapitalistische systeem waar het vooral om winst gaat. De beurshaaien willen natuurlijk altijd maar meer meer meer en nog meer. Op medewerkers te houden mooie optieregelingen die natuurlijk alleen maar werken als de koers goed stijgt.

Het verrotte van dit systeem komt steeds meer en vaker naar boven en dit is niet de eerste en laatste keer.
Socialisme en communisme hebben wel bewezen heel goed te werken 8)7 ....

Het probleem zit 'm niet in het systeem, maar in wat de mensen zowel tot de hoogtepunten als dieptepunten brengt: Eerzucht, luiheid, egoïsme, hoogmoed, winstbejag.
Daar verandert een systeem weinig aan.
Tja, een beetje off topic, maar echte socialisme heeft nooit echt de kans gekregen om te bewijzen dat het werkt, omdat het altijd direct gesaboteerd werd door... jawel, de kapitalisten in het rijke westen.

En dan zeggen de rijke kapitalisten, zie je wel, het werkt niet. En die propaganda heeft goed gewerkt.
Nee hoor. Elke studie toont dat socialistische modellen op grote schaal niet werken. Massa’s willen nu eenmaal niet eerlijk delen. Daarnaast is het een systeem gebouw uit wantrouwen, namelijk omdat je constant elkaar moet controleren of je niet meer neemt dan mag. Elke communistisch systeem gaat van binnenuit kapot.
Blijkbaar niet allemaal, China says hi.
Ik denk dat het wel in het systeem zit: frauderen/de kantjes er vanaf lopen wordt beloond. Falen nauwelijks bestraft (in dit geval denk ik ook niet dat er maar 1 directeur opgepakt zal worden). Ook in een kapitalistisch systeem zou dat moeten werken: de kosten voor het opruimen 1-op-1 doorbelasten naar de nalatige partij. Mocht die partij het er niet mee eens zijn, dan via een civiele procedure de kosten halen bij de werkelijke veroorzaker.
Het probleem van de kosten voor het opruimen bepalen blijft nog wel even (wat kost het opruimen van 1 gelekt naam/BSN nummer?). Maar dat kunnen we wel gaan bepalen.
Welkom in het kapitalistische systeem waar het vooral om winst gaat
Het kapitalisme is verre van ideaal maar helaas zijn de alternativen erger dus zullen we het er mee moeten doen.

Begrijp me goed, puur kapaitalisme is een onding. In een puur kapitalistische samenleving blijft er uiteindelijk maar één megabedrijf over dat alle anderen heeft opgeslokt. Als gevolg gaan de prijzen omhoog en de kwaliteit omlaag.

Gelukkig bestaat een dergelijke samenleving niet. In de praktijk hebben kapitalistische samenlevingen regels om monopolievorming en het misbruik daarvan, te voorkomen of tegen te gaan.
In de praktijk hangt het dus af van hoe die regels zijn opgesteld en afgedwongen worden en dat bepaalt mijns inziens of het kapitalisme een zegen of een vloek is.

Maar het kapitalisme in de ban doen is als het kind met het badwater weggooien.
Je verhaal klinkt mooi in theorie met regels voor monopolies. Ondertussen zijn techbedrijven zo groot en machtig geworden dat die grenzen al lang zijn overschreden. De regels van misbruik van monopolies lopen helaas achter de feiten aan.

Kapitalisme afschaffen is geen alternatief, maar strenger beleid en regulering is iets dat veel sneller toegepast moet worden. Tot op heden is het nog steeds zo dat boetes vanwege misbruik deze bedrijven geen pijn doen. Pas als het pijn doet bereik je iets.
Ik ben met je eens dat de anti-monopolie regels en bijbehorende boetes best aangescherpt mogen worden.
Ik begrijp ook niet goed waarom regelmatig megafusies goedgekeurd worden.
Ik zie liever veel kleinere bedrijven i.p.v. een paar grote.
Probleem is wel dat andere landen daar vaak niet in mee gaan en kleine bedrijven kunnen vaak niet opboksen tegen de grote.
Ik vrees dat een goede oplossing nog ver weg is.
Er is nooit geld voor ICT security, totdat het een keer mis gaat...

ICT is jarenlang de sluitpost geweest bij veel bedrijven. Nadat het internet zijn intrede deed en meer bedrijven automatiseerden werden de budgetten voor ICT groter, maar beveiliging is daarin vaak de sluitpost. Een virusscanner kan er meestal nog net vanaf, een firewall wordt al wat lastiger maar is vaak ook nog wel aannemelijk te maken, maar budget voor training en opleiding van personeel bijvoorbeeld...

Totdat die ene medewerker een keer op een verkeerde link klikt, de directeur slachtoffer is geworden van CEO fraude, bestanden bij de concurrentie blijken te liggen of iets anders mis gaat.
En nu moeten wij bedrijven als Microsoft en Intel maar geloven dat hun klanten niet geimpacteerd werden. Microsoft Azure nog veilig ? Intel cpumicrocode ?

[Reactie gewijzigd door klakkie.57th op 3 januari 2021 14:40]

Misschien kan je je beter ook al afvragen waarom je bedrijven voor beveiliging van de spullen van jou en klanten wil vertrouwen als er nog niets aan de hand lijkt. Waarom zou je ze willen vertrouwen als ze eigenlijk geen inzicht geven waarom ze veilig genoeg zijn? Dat hoor je je toch niet pas achteraf te willen afvragen.
Helemaal mee eens hoor !!
Daarom dat we dit soort momenten moeten blijven gebruiken om aan ons eigen management aan te tonen dat ze (BigTech) niet zo onfeilbaar zijn als ze claimen te zijn.

[Reactie gewijzigd door klakkie.57th op 4 januari 2021 13:06]

Microsoft kan niet eens vertellen of de brondcode is geexporteerd, dat lijkt me nogal wat. (je zou daar de aanname kunnen doen dat ze niet heel goed monitoren en loggen wat er gebeurt)
Ook werd de nadruk op beveiliging van de Amerikaanse presidentsverkiezingen gebruikt om juist andere doelwitten te benaderen.
Aangezien die eerste schatting van een aantal dozijn getroffen bedrijven ook herzien moest worden, denk ik dat dit onderwerp koren op de molen van complotdenkers gaat zijn de komende jaren.
Hopelijk komt alles wel weer goed :)
Hoe bedoel je?

Als jij een doos met eieren op de grond kapot laat vallen, vraag je jezelf dat dan ook af? :?
wat een leuke vergelijking
En dan wilt men zelfrijdende auto's op de weg gaan gebruiken. Zijn we wel zeker dat die zelf gaan rijden of gaat er een hacker mee rijden. Ik hou mijn hart vast als die dingen op straat komen.
Is er een lijst bekend met alle getroffen bedrijven die daadwerkelijk zijn gehackt en uitgebuit?

[Reactie gewijzigd door rberkenpas op 4 januari 2021 14:23]

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee