NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack

The New York Times schrijft dat 'zeker 250 bedrijven en overheidsinstanties' getroffen zijn door de SolarWinds-hack die in december aan het licht kwam. De krant baseert dat getal op gesprekken die het heeft gevoerd met sleutelfiguren die de hack onderzoeken.

De getallen komen onder andere van Microsoft en Amazon. De eerste schattingen waren dat er slechts 'een aantal dozijnen' aan netwerken binnengedrongen waren, maar dat lijkt nu verre van het geval. Verder stelt de krant dat het gebruikmaakte van Amerikaanse servers om hun aanvallen te coördineren, omdat het de Amerikaanse NSA officieel verboden is om surveillance binnen zijn eigen landsgrenzen uit te voeren. Ook werd de nadruk op beveiliging van de Amerikaanse presidentsverkiezingen gebruikt om juist andere doelwitten te benaderen.

SolarWinds, het Texaanse bedrijf dat de gehackte Orion-netwerkmanagementsoftware leverde, heeft volgens het Amerikaanse dagblad een 'voorgeschiedenis van tegenvallende security-updates'. Het bedrijf zou op security bezuinigd hebben om de winstmarge te vergroten. In het kader daarvan zou een deel van de software-ontwikkeling ook uitbesteed zijn aan landen in Oost-Europa, waar wellicht de aanvankelijke intrusion heeft plaatsgevonden. De redenering van de krant is dat de Russische geheime diensten daar dieper geworteld zijn. Dat de Russische staat of een Russische partij achter de hack zit, staat overigens niet vast.

De hack op SolarWinds en zijn veelgebruikte Orion-netwerkmanagementsoftware kwam in december aan het licht toen securitybedrijf FireEye aan de bel trok. De Amerikaanse autoriteiten hadden de supply chain attack tot op dat moment nog niet door. Onder de getroffen bedrijven zit ook Microsoft; het bedrijf zegt dat een deel van zijn broncodes zijn ingezien, maar alleen met read access en het is niet duidelijk of de code is geëxporteerd. Cisco, Belkin, VMware en Intel zijn ook getroffen door de hack.

Via de Wayback Machine is te zien wie SolarWinds nog meer als klant mocht rekenen: 'Meer dan 425' van de 500 invloedrijkste bedrijven uit Amerika, de tien grootste telecomproviders in Amerika, de vijf takken van het Amerikaanse leger, de vijf grootste accountantsbedrijven, honderden universiteiten en hogescholen wereldwijd, NASA en heel veel Amerikaanse overheidsinstellingen. Klant zijn betekent nog niet dat een instantie echt getroffen is: het moet dan een kwetsbare versie van Orion draaien en die moet ook nog uitgebuit worden.

Door Mark Hendrikman

Redacteur

Feedback • 03-01-2021 12:40 32

03-01-2021 • 12:40

32

Lees meer

FireEye verkoopt e-mail- en netwerkbeveiligingsonderdeel aan investeringsgroep
FireEye verkoopt e-mail- en netwerkbeveiligingsonderdeel aan investeringsgroep Nieuws van 3 juni 2021
Enterprise-wachtwoordmanager Passwordstate is getroffen door supply chain attack
Enterprise-wachtwoordmanager Passwordstate is getroffen door supply chain attack Nieuws van 24 april 2021
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails Nieuws van 19 januari 2021
Centrale Bank van Nieuw-Zeeland meldt hack
Centrale Bank van Nieuw-Zeeland meldt hack Nieuws van 11 januari 2021
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie Nieuws van 7 januari 2021
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode Nieuws van 1 januari 2021
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen'
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen' Nieuws van 25 december 2020
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack Nieuws van 22 december 2020
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack Nieuws van 18 december 2020
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack?
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Nieuws van 17 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit Nieuws van 14 december 2020
Meer producten en artikelen
Networking en security Politiek en recht Orion Hack Hackers SolarWinds Verenigde staten

Reacties (32)

-Moderatie-faq
32
31
14
1
0
8
Wijzig sortering
HDTech 3 januari 2021 12:56
Dus als leek.... Alle bedrijven die überhaupt in aanmerking komen voor beveiliging van zulke grote partijen zijn zelf ook heel erg groot. Daardoor zijn er uiteraard maar een paar spelers. Door de hele America / Rusland / China neemt dat aantal spelers uiteraard nog verder af. Dit hele grote beveiligingsbedrijf wil een goede winst (beursgenoteerd?) En dus snijd het her en der een hoekje af zoals alle grote bedrijven die hier genoemd zijn. Karma? Koekje van eigen deeg? Gevolg van de altijd maar durende drang naar meer meer meer winst?
tonkie_67 @HDTech3 januari 2021 20:24
Solarwinds is geen beveiligingsbedrijf en het pakket Orion (waar het probleem mee is) heeft op zich niets met security te maken maar is een uitgebreide monitor en beheertool voor zowel computers (servers) als netwerk equipment (switches routers firewalls etc). Orion moet toegang hebben tot alle systemen om ze te monitoren en beheren. 'Vroeguh' nam je genoegen met enkel snmp access en monitorde je performance op die manier (bv cpu%, memory used%, bandbreedte etc etc) en sommige beheertaken kon je doen met snmp write access.
Maar over de jaren pakten ze meer en meer functies in die het noodzakelijk maakten dat Orion ook software op de servers plaatsten om meer te kunnen sturen en monitoren. Omdat veel AV software dr acties van systemen als Orion als potentieel verdacht zouden zien is vaak het advies (of soms zelfs eis) om acties van Orion te whitelisten in de AV software en Orion mocht dus vaak alles op systemen zonder dat AV software dat rapporteerde.
Als dan vrrvolgens kwaadwillenden het lukt om een component van Orion te kapen en via het update platform een virus te verspreiden welke digitaal ondertekend is als originele Orion component dan heeft men 100% access tot de netwerken waar ze Orion gebruiken. En de foute sw kwam pas na een tijdje in werking (dus lastig achteraf na te gaan hoe en wanneer systeem gecomprimeerd was) en werd gebruik gemaakt van host/domeinnamen die op 1e gezicht geldig en normaal leken. Ook hadden de externe c&c servers niet allen onschuldig/correct lijkende urls maar waren de servers ook in het eigen land: een geinfecteerd netwerk in Belgie maakte contact met c&c server in Belgie en idem in USA. Als je firewalls extern verkeer monitorden op land ging er geen alarm af. En het verkeer met de cc server leek normaal orion verkeer dat wel terecht was.
Absoluut niet een knutselproject van hobbyisten...
Een pakket wat zoveel toegang eist van beheerde machines en waarvan gevraagd wordt om alle acties te whitelisten in AV moet extreem goed beveiligd zijn tegen indringets in de zgn supply chain; en daar schoot Solarwinds erg tekort. Net zoals bijv Microsoft ervoor moet zorgen dat een buitenstasnder niet een nep Windows update digitaal als 'echt Microsoft' mag kunnen ondertekenen en vervolgens via de MS download sites verspreiden had Solarwinds dat ook moeten doen. Bv door een waterdichte procedure om updates te ondertekenen met digitale handtekening en vervolgens als echte update op de download site te zetten. Ergens was de procedure lek en kon iemand blijkbaar beide stappen doen zonder enige check.
Bedrijfsprocessen moeten dat onmogelijk maken en er moet actief bewaakt worden dat er geen onbekende updates op het netwerk staan: dit vereist actief (en kostbaar) werk dat niets direct opbrengt en bovendien publiceren van updates minder flexibel en duurder maakt... maar als je dat proces niet constant nauwkeurig monitord kan het dus heel fout gaan.
Werk zelf bij it bedrijf die veel levert aan us federal govmnt zoals leger en buza en weet hoeveel ze eisen om zaken met ze te mogen doen; Solarwinds zal veel in hun processen moeten aanpassen om fedgov als klant te houden. (Hopelijk zal vs na 20jan niet meer ziende blind zijn voor acties van Putin cs zoals de afgelopen 4 jaar)

[Reactie gewijzigd door tonkie_67 op 23 juli 2024 23:32]

Cerberus_tm @tonkie_676 januari 2021 05:07
Wat betreft de supply chain: die heeft zelfs Microsoft dus ook niet op orde? Ze zijn immers gehackt doordat ze software gebruikten van een bedrijf dat Microsoft niet had moeten vertrouwen, Solar Winds. Zie hier het probleem van de meeste grote organisaties, inclusief b.v. de NSA.
NielsFL @HDTech3 januari 2021 13:09
Het wachtwoord van de update server instellen op "solarwinds123" heeft denk ik weinig met winst te maken, maar vooral met luiheid en onkunde.

Uiteraard is het onvoldoende controleren op dat soort fouten wellicht wel weer een gevolg van bezuinigingen, maar ook die duiden mijn inziens dat toch weer op luiheid en onkunde. Uiteindelijk is er gewoon geen goed excuus voor dit soort dingen.
PeterM007 @NielsFL3 januari 2021 13:20
Dit zou eigenlijk bij de bron al aangepakt moeten worden. Waarom is het überhaupt mogelijk om zo'n simpel wachtwoord in te stellen? Volgens mij zouden fabrikanten dit soort zaken al moeten inbouwen in de software, zodat gebruikers gedwongen worden om een sterk wachtwoord + eventueel 2-factor erop te gebruiken.
Blokker_1999
@PeterM0073 januari 2021 13:28
Het probleem met complexiteitsvereisten is dat er eenvoudig rondgewerkt kan worden. Wil je er minstens een hoofdletter en een speciaal teken bij? Solarwinds123! . Langer maken? Dan voer je een extra cijfer toe enzoverder.

Een goed beleid zou zijn om ofwel goede 2FA toe te voegen zoals je aangeeft of om belangrijke wachtwoorden in een goed beheersysteem te zetten met priviliged account management zodat wachtwoorden automatisch complex worden gemaakt en na eenmalig gebruik automatisch veranderd worden. En dat soort van systemen vereist meestal dat je een security team hebt dat weet hoe zoiets verkocht moet worden aan management of dat vanuit management voldoende vrijheid heeft gekregen om het gewoon te implementeren.
OxWax @NielsFL3 januari 2021 13:38
Ik mag hopen dat u een grap maakt?
Het wachtwoord van de update server instellen op "solarwinds123" heeft denk ik weinig met winst te maken, maar vooral met luiheid en onkunde.
Brahiewahiewa @OxWax3 januari 2021 13:45
https://www.theregister.c...larwinds_github_password/
kodak
@NielsFL3 januari 2021 14:51
Als je als bedrijf personeel in dienst neemt dat onkundig is en er ook niet voor zorgt dat er controle tegen onkunde of luiheid is, en vervolgens ook nog maanden niet weet (of voorkomt) dat je updates met een achterdeur aan je klanten verstrekt en je een deel liever in landen met goedkopere werkkrachten laat doen dan heeft dat hoe dan ook met winst te maken.
TheVivaldi @NielsFL3 januari 2021 17:11
Kijk, met bezuinigingen kun je inderdaad niet alles goed controleren, maar een wachtwoordcontrole valt onder de basis. Als dat niet gecontroleerd wordt, dan is er gewoon 0 dollar uitgegeven aan beveiliging in plaats van simpelweg bezuinigd.
TheekAzzaBreek @NielsFL4 januari 2021 00:28
Als het om een min of meer publieke update service gaat en dat account heeft alleen leesrechten waar het hoort is er nog niet zo veel aan de hand. Windows update vraagt helemaal geen wachtwoord, en met goede redenen. Verspreiding van van security fixes is belangrijker dan piraterij bestrijden. Dat je zonder veel moeite bij updates kan is het probleem niet.

Het probleem hier is dat de aanvallers controle kregen over de systemen achter de update services, en daarmee wat je binnenhaalde met je solarwinds123 wachtwoord.
bbob
@HDTech3 januari 2021 13:43
Het bedrijf zou op security bezuinigd hebben om de winstmarge te vergroten.
Welkom in het kapitalistische systeem waar het vooral om winst gaat. De beurshaaien willen natuurlijk altijd maar meer meer meer en nog meer. Op medewerkers te houden mooie optieregelingen die natuurlijk alleen maar werken als de koers goed stijgt.

Het verrotte van dit systeem komt steeds meer en vaker naar boven en dit is niet de eerste en laatste keer.
WackoH @bbob3 januari 2021 14:17
Socialisme en communisme hebben wel bewezen heel goed te werken 8)7 ....

Het probleem zit 'm niet in het systeem, maar in wat de mensen zowel tot de hoogtepunten als dieptepunten brengt: Eerzucht, luiheid, egoïsme, hoogmoed, winstbejag.
Daar verandert een systeem weinig aan.
Sakete @WackoH3 januari 2021 17:46
Tja, een beetje off topic, maar echte socialisme heeft nooit echt de kans gekregen om te bewijzen dat het werkt, omdat het altijd direct gesaboteerd werd door... jawel, de kapitalisten in het rijke westen.

En dan zeggen de rijke kapitalisten, zie je wel, het werkt niet. En die propaganda heeft goed gewerkt.
MennoE @Sakete3 januari 2021 20:30
Nee hoor. Elke studie toont dat socialistische modellen op grote schaal niet werken. Massa’s willen nu eenmaal niet eerlijk delen. Daarnaast is het een systeem gebouw uit wantrouwen, namelijk omdat je constant elkaar moet controleren of je niet meer neemt dan mag. Elke communistisch systeem gaat van binnenuit kapot.
Armselig @MennoE3 januari 2021 22:39
Blijkbaar niet allemaal, China says hi.
latka @WackoH3 januari 2021 23:07
Ik denk dat het wel in het systeem zit: frauderen/de kantjes er vanaf lopen wordt beloond. Falen nauwelijks bestraft (in dit geval denk ik ook niet dat er maar 1 directeur opgepakt zal worden). Ook in een kapitalistisch systeem zou dat moeten werken: de kosten voor het opruimen 1-op-1 doorbelasten naar de nalatige partij. Mocht die partij het er niet mee eens zijn, dan via een civiele procedure de kosten halen bij de werkelijke veroorzaker.
Het probleem van de kosten voor het opruimen bepalen blijft nog wel even (wat kost het opruimen van 1 gelekt naam/BSN nummer?). Maar dat kunnen we wel gaan bepalen.
Grimm @bbob3 januari 2021 14:51
Welkom in het kapitalistische systeem waar het vooral om winst gaat
Het kapitalisme is verre van ideaal maar helaas zijn de alternativen erger dus zullen we het er mee moeten doen.

Begrijp me goed, puur kapaitalisme is een onding. In een puur kapitalistische samenleving blijft er uiteindelijk maar één megabedrijf over dat alle anderen heeft opgeslokt. Als gevolg gaan de prijzen omhoog en de kwaliteit omlaag.

Gelukkig bestaat een dergelijke samenleving niet. In de praktijk hebben kapitalistische samenlevingen regels om monopolievorming en het misbruik daarvan, te voorkomen of tegen te gaan.
In de praktijk hangt het dus af van hoe die regels zijn opgesteld en afgedwongen worden en dat bepaalt mijns inziens of het kapitalisme een zegen of een vloek is.

Maar het kapitalisme in de ban doen is als het kind met het badwater weggooien.
bbob
@Grimm3 januari 2021 16:35
Je verhaal klinkt mooi in theorie met regels voor monopolies. Ondertussen zijn techbedrijven zo groot en machtig geworden dat die grenzen al lang zijn overschreden. De regels van misbruik van monopolies lopen helaas achter de feiten aan.

Kapitalisme afschaffen is geen alternatief, maar strenger beleid en regulering is iets dat veel sneller toegepast moet worden. Tot op heden is het nog steeds zo dat boetes vanwege misbruik deze bedrijven geen pijn doen. Pas als het pijn doet bereik je iets.
Grimm @bbob4 januari 2021 14:09
Ik ben met je eens dat de anti-monopolie regels en bijbehorende boetes best aangescherpt mogen worden.
Ik begrijp ook niet goed waarom regelmatig megafusies goedgekeurd worden.
Ik zie liever veel kleinere bedrijven i.p.v. een paar grote.
Probleem is wel dat andere landen daar vaak niet in mee gaan en kleine bedrijven kunnen vaak niet opboksen tegen de grote.
Ik vrees dat een goede oplossing nog ver weg is.
Pietervs @bbob3 januari 2021 13:54
Er is nooit geld voor ICT security, totdat het een keer mis gaat...

ICT is jarenlang de sluitpost geweest bij veel bedrijven. Nadat het internet zijn intrede deed en meer bedrijven automatiseerden werden de budgetten voor ICT groter, maar beveiliging is daarin vaak de sluitpost. Een virusscanner kan er meestal nog net vanaf, een firewall wordt al wat lastiger maar is vaak ook nog wel aannemelijk te maken, maar budget voor training en opleiding van personeel bijvoorbeeld...

Totdat die ene medewerker een keer op een verkeerde link klikt, de directeur slachtoffer is geworden van CEO fraude, bestanden bij de concurrentie blijken te liggen of iets anders mis gaat.
klakkie.57th 3 januari 2021 14:22
En nu moeten wij bedrijven als Microsoft en Intel maar geloven dat hun klanten niet geimpacteerd werden. Microsoft Azure nog veilig ? Intel cpumicrocode ?

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 23:32]

kodak
@klakkie.57th3 januari 2021 14:58
Misschien kan je je beter ook al afvragen waarom je bedrijven voor beveiliging van de spullen van jou en klanten wil vertrouwen als er nog niets aan de hand lijkt. Waarom zou je ze willen vertrouwen als ze eigenlijk geen inzicht geven waarom ze veilig genoeg zijn? Dat hoor je je toch niet pas achteraf te willen afvragen.
klakkie.57th @kodak3 januari 2021 15:14
Helemaal mee eens hoor !!
Daarom dat we dit soort momenten moeten blijven gebruiken om aan ons eigen management aan te tonen dat ze (BigTech) niet zo onfeilbaar zijn als ze claimen te zijn.

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 23:32]

Kabouterplop01 @klakkie.57th4 januari 2021 12:21
Microsoft kan niet eens vertellen of de brondcode is geexporteerd, dat lijkt me nogal wat. (je zou daar de aanname kunnen doen dat ze niet heel goed monitoren en loggen wat er gebeurt)
Crisium 3 januari 2021 14:49
Ook werd de nadruk op beveiliging van de Amerikaanse presidentsverkiezingen gebruikt om juist andere doelwitten te benaderen.
Aangezien die eerste schatting van een aantal dozijn getroffen bedrijven ook herzien moest worden, denk ik dat dit onderwerp koren op de molen van complotdenkers gaat zijn de komende jaren.
skozaa 3 januari 2021 13:18
Hopelijk komt alles wel weer goed :)
Neut72 @skozaa3 januari 2021 16:22
Hoe bedoel je?

Als jij een doos met eieren op de grond kapot laat vallen, vraag je jezelf dat dan ook af? :?
skozaa @Neut723 januari 2021 18:33
wat een leuke vergelijking
onkeltje 4 januari 2021 08:26
En dan wilt men zelfrijdende auto's op de weg gaan gebruiken. Zijn we wel zeker dat die zelf gaan rijden of gaat er een hacker mee rijden. Ik hou mijn hart vast als die dingen op straat komen.
rberkenpas 4 januari 2021 14:22
Is er een lijst bekend met alle getroffen bedrijven die daadwerkelijk zijn gehackt en uitgebuit?

[Reactie gewijzigd door rberkenpas op 23 juli 2024 23:32]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq