Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails

De hackers die eind vorig jaar via software van SolarWinds bij bedrijven en overheden wisten in te breken, hebben onlangs ook Malwarebytes aangevallen. Het beveiligingsbedrijf zegt geen SolarWinds-software te gebruiken, maar werd via andere software aangevallen.

In het blogbericht spreekt Malwarebytes over aanvallers die misbruik maakten van applicaties die toegang hadden tot Microsoft 365- of Azure-omgevingen. Uit onderzoek zou blijken dat de aanvallers bij Malwarebytes alleen toegang hadden tot 'een beperkt deel van interne bedrijfs-e-mails' maar dat ze verder geen toegang hadden tot de interne systemen van het bedrijf.

Malwarebytes zegt dat ze op 15 december door Microsoft werden getipt over de mogelijke aanval. Microsoft zou in de 365-systemen van Malwarebytes hebben gezien dat de aanval op de Malwarebytes-systemen vergelijkbaar was met de SolarWinds-aanval. De twee bedrijven deden daarna samen onderzoek naar de aanval, waaruit zou blijken dat de aanval gerelateerd is aan een kwetsbaarheid binnen Azure Active Directory. Het antivirusbedrijf heeft zijn eigen broncode, builds en verzendprocessen onderzocht en hun software ge-reverse-engineered. Op basis hiervan zegt Malwarebytes dat hun software veilig is om te gebruiken.

De aanval op Malwarebytes lijkt vergelijkbaar te zijn met de aanval op het Amerikaanse ministerie van Justitie. Begin januari kwamen de hackers in de Microsoft 365-omgeving van het ministerie, waar ze toegang kregen tot ongeveer drie procent van alle inboxen. Deze aanval werd op 24 december ontdekt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsposter

19-01-2021 • 21:44

24 Linkedin

Reacties (24)

Wijzig sortering
Een Microsoft partner was ook geraakt door de solar winds aanval. Microsoft partners hebben toegang tot klanten Office 365 omgevingen (genaamd tenants) als ze geassocieerd staan met de omgeving.
Microsoft partners moeten daarentegen vergaande beveiliging doorvoeren zoals MFA op alle accounts die toegang hebben tot klant systemen. Dat geeft wel aan hoe geavanceerd deze aanval is geweest.

Blijkbaar hebben ze enkel met gehackte Oauth tokens en Office 365 APIs gewerkt. Dit gaat allemaal mij ver de pet te boven. Dit is geen hobby club geweest.
KISS,
keep it simple stupid.

Veel bedrijven maken zich schuldig aan dat ze er een warboel van maken, Microsoft ook. Te veel opties en functies en zoals het er uit ziet kan MS het niet zo snel op korte termijn oplossen, integendeel.


https://blogs.microsoft.c...urity-solarwinds-fireeye/
This represents a growing option for nation-states to either build or buy the tools needed for sophisticated cyberattacks. And if there has been one constant in the world of software over the past five decades, it is that money is always more plentiful than talent. An industry segment that aids offensive cyberattacks spells bad news on two fronts. First, it adds even more capability to the leading nation-state attackers, and second, it generates cyberattack proliferation to other governments that have the money but not the people to create their own weapons. In short, it adds another significant element to the cybersecurity threat landscape
Voor de goede orde,
de VS, maar elk ander land, is de afgelopen jaren flink geraakt door hacks waar ze zelf niet tijdig bij zijn gekomen. Desalniettemin kiezen ze er voor om het te propageren als een aanval die hoofdzakelijk armere landen zal raken...

Zal geen verassing zijn wie dan de redder in nood zou moeten zijn.
KISS,
keep it simple stupid.
Altijd gedacht dat het Keep It Short and Simple was.
Oauth tokens zijn in dit geval niet anders dan de cached credentials waar hackers normaal mee werken om verder in het systeem te komen. Eenmaal de goede token te pakken ben je er. De office 365 apis zijn natuurlijk al perfect beschreven. Natuurlijk blijft het altijd knap hoe ze op de systemen komen om de credentials te stelen, dat doe ik ze niet na.
Ik snap de functie van de authenticatie tokens gezien ik ook redelijk bekend ben met kerberos authenticatie. Maar het is veel lastiger gezien het een veel modernere methode is. Ik kijk erg uit naar een gedetailleerde rapportage van deze hack. En dan specifiek wat we kunnen doen om deze te detecteren Microsoft is erg goed in de uitleg hiervan en ze zullen transparant moeten zijn met partners (waar ik werk). Zie ook:

https://blogs.microsoft.c...urity-solarwinds-fireeye/
Met de juiste phishing tooling is dat tegenwoordig vrij simpel af te vangen, ook met MFA. De code staat gewoon op github: https://github.com/gophish/gophish
De SolarWinds-kraak lijkt simpel te verklaren (hun bouwstraat was gehacked). Het toegang verschaffen en de manier waarop laat vooral zien dat ze hun tijd hebben genomen om het bedrijf te leren kennen. Geen idee hoe ze zijn binnengekomen maar de rest lijkt vooralsnog niet heel complex. (Voor een persoon die wel eens een bouwstraat heeft geknutseld)

Dit verhaal is anders, als jij iemand infecteert en diegene z'n laptop kan "remote controlen" is de rest niet zo lastig. Je wacht rustig totdat diegene zelf gaat inloggen op office365, daarna gebruik je die informatie om op de achtergrond api calls te doen. Geen idee wat hier is gebeurd maar het kan iets simpels zijn

[Reactie gewijzigd door Mellow Jack op 20 januari 2021 08:10]

Je moet dan alsnog door een aantal lagen heen om de beveiliging schil af te pellen, uitgezonderd kwetsbaarheden.

De hack van SolarWinds is volgens mij een reverse engineering koekoeksei waarbij de ‘hackers’ zich in de update hebben genesteld.

En ze zijn inmiddels verder gekomen dan SolarWinds. Je moet toch over aardig wat skills beschikken. Benieuwd wie erachter zit.
Je moet dan alsnog door een aantal lagen heen om de beveiliging schil af te pellen, uitgezonderd kwetsbaarheden.
In het geval van O365 niet zozeer, als je een laptop met actieve sessie kan besturen kan je alles doen wat die persoon mag doen.
De hack van SolarWinds is volgens mij een reverse engineering koekoeksei waarbij de ‘hackers’ zich in de update hebben genesteld.
Wat ik tot nu toe heb gelezen is hetgeen wat ze hebben gedaan simplistisch gezegd het msbuild.exe proces gemonitored. Als Orion langs kwam injecteerde ze hun eigen stukje code.

In feite kan iedereen die werkt met een software build omgeving dit doen. Tot nu toe weinig gezien wat ik niet kan. En nee ik heb niet echte skills waardoor ik tot de top behoor :p Dat maakt het juist zo geniaal :p Dit is een hack waarbij heel veel tijd is genomen voor het vergaren van informatie. Geen idee nog of dit via een hack is geweest of bijv social engineering. Dit is het geniale want qua skills valt het injecteren in Orion mee maar de hoeveelheid inhoudelijke kennis je daarvoor moet hebben is echt enorm.
Het lijkt me dat Solar Winds niet direct een remote desktop heeft draaien of directe toegang tot ssh zodat dit toegankelijk is vanaf het net. De vraag is hoe zijn ze binnen gekomen om te gaan sleutelen aan de bestanden. Als je een keer binnen in het interne netwerk bent dan is de truc niet zo moeilijk voor een geoefende virusprogrameur.
Heb daar nog weinig details over gelezen maar stel je voor dat SolarWinds 1000 developers heeft, stel je ook voor dat ze sterk gestandaardiseerd werken, stel je als laatste nog eens voor dat ze vanwege eerste 2 aannames ook nog eens hun build agents hebben gestandaardiseerd.

In feite heb je maar 1 developer nodig die aan 1 of ander flut tooltje werkt die per toeval gebouwd kan worden in die gestandaardiseerde pool van build agents en je bent al de sjaak

En dan heb ik het alleen nog over het sociale vlak (iemand is omgekocht of geïnfiltreerd cq. een externe zzp'er).
Inderdaad, maar een van de duizend hoeft op een malafide link te klikken en je bent binnen om vervolgens nog meer schade aan te brengen.

Of je loopt naar binnen, met een vals pasje, om in te prikken, of je graaft een gat. Heel erg simpel, maar ik denk eerder dat het op afstand gaat.

Suggesties genoeg hoe het suggestief mogelijk gemaakt kan worden. En dan vervolgens de uitvoering, lijkt me wederom helaas een meester zet.

Wat zit er in deze software zodat een plotselinge toegevoegde remote scripting niet opvalt?
Wat zit er in deze software zodat een plotselinge toegevoegde remote scripting niet opvalt?
Dat zijn 2 vragen in 1.

Aller eerst de software build omgeving waar SolarWinds Orion is wordt gemaakt. Iedere systeem beheerder die bij een middle grote tot grote software development organisatie kan je vertellen dat software ontwikkeling vanaf de buitenkant (bijv. zoals de virus scanner ernaar kijkt) gezien wordt als hacking. Build omgevingen zitten dan ook vaak bomvol met uitzonderingen. Natuurlijk kan je dit op talloze manieren oplossen maar als je eenmaal op dit niveau gecomprimeerd bent is het een complex verhaal.

Daarnaast gaat het natuurlijk om Orion zelf. Orion doet aan monitoring. Dit gebeurt op talloze manieren, sommige systemen leveren de data aan, in sommige gevallen wordt ergens een agent geïnstalleerd en in sommige gevallen gebruiken ze idd ssh of winrm om informatie te vergaren. Ook hier heb je 1000e implementaties, beveiliging methodes enz dus probeer het simpel te houden. Als je een website host en dit gaat monitoren. Leuk als er een alarm af gaat zodat iemand van ICT gaat kijken. Nog leuker als de monitoring tool de mogelijkheid aan de ICT'er biedt om direct een scriptje op die omgeving te runnen die het probleem verhelpt. Nog leuker als je monitoring platform simpele problemen volledig automatisch fixed. Een monitoring platform voor een datacenter heeft dus 1000e componenten waarmee hij interactie heeft. Je moet je monitoring vertrouwen of zodanig implementeren dat misbruik niet mogelijk is (tot nu gingen we voor optie 1 met een beetje 2 want optie 2 kost enorm veel geld en maakt alles lastig).

Het slimme aan deze hack is dus dat een monitoring tool vaak toch wel ergens toegang heeft waar iets is waar hij misbruik van kan maken zonder bellen te laten rinkelen.

Bijv.:
- systemen die naar het internet mogen communiceren
- systemen waar mensen op inloggen
- systemen waar vanaf mensen naar online diensten gaan (office 365 oauth tokens kapen)
- systemen waar wachtwoorden zijn opgeslagen
- enz enz enz

In theorie kan een monitoring tool heel veel tegenkomen en ook heel veel doen wat gewoon gezien wordt als legitiem gedrag

Nu wil ik niet zeggen dat het simpel is wat hier is gebeurd. Het vereist veel tijd, veel kennis van SolarWinds en Orion en daarna net zoveel zo niet meer tijd, mogelijk wat zero days en skills om nuttige dingen te stelen bij de klanten van Orion (de uiteindelijke doelwitten)... als je kijkt wie zijn getroffen dan zijn dat niet de minste
40 a 50 jaar geleden was het ook mogelijk om een script in te zetten bij een remote of ssh poging. Om het in z’n geheel op 1000 employs af te stemmen kun je een reeks aan ip nummers inzetten. Deze weer hardwarematig verbinden. Spoofen wordt dan moeilijker, en het uitwisselen van een snoeppot is ook een optie. Zitten ze bij Solar Winds gezellig een kopje thee te drinken.

Het lijkt een haut knok partij te worden, wie het best kan schaken en kraken.
dat doe ik ze niet na.
Dat is maar goed ook :+
Zij beheren die systemen toch? Ik neem aan dat ze dan ook de aanvallen op die servers in de gaten houden. Dat kan prima zonder de privacy te schenden.
Een van de reden kan zijn dat ze eigenaar zijn van Office365.... En jij wilt liever niet gewaarschuwd worden wanneer anderen toegang proberen te krijgen tot jouw mail e.d.?
Als je niet weet wat Office 365 en Azure Active Directory is, onthou je dan van zulke fipo's die kant nog wal raken
opvallend dat er maar tot een beperkt aantal inboxen toegang is gekregen, wat doet vermoeden dat ze ofwel erg specifiek getarget zijn of dat er security-gewijs misschien iets mis was (bvb herbruikte, niet unieke paswoorden).
Wat ook opmerkelijk is, is het zoveel later in een schijnbaar vergelijkbare omgeving opnieuw mogelijk is. Je zou toch denken dat ze tijd genoeg hebben gehad om de aanval te onderzoeken en een zelfde soort verdacht gedrag proactief zouden kunnen monitorren en ingrijpen vanaf het echt een bedreiging vormt voordat er data wordt gecompromitteerd.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True