Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails

De hackers die eind vorig jaar via software van SolarWinds bij bedrijven en overheden wisten in te breken, hebben onlangs ook Malwarebytes aangevallen. Het beveiligingsbedrijf zegt geen SolarWinds-software te gebruiken, maar werd via andere software aangevallen.

In het blogbericht spreekt Malwarebytes over aanvallers die misbruik maakten van applicaties die toegang hadden tot Microsoft 365- of Azure-omgevingen. Uit onderzoek zou blijken dat de aanvallers bij Malwarebytes alleen toegang hadden tot 'een beperkt deel van interne bedrijfs-e-mails' maar dat ze verder geen toegang hadden tot de interne systemen van het bedrijf.

Malwarebytes zegt dat ze op 15 december door Microsoft werden getipt over de mogelijke aanval. Microsoft zou in de 365-systemen van Malwarebytes hebben gezien dat de aanval op de Malwarebytes-systemen vergelijkbaar was met de SolarWinds-aanval. De twee bedrijven deden daarna samen onderzoek naar de aanval, waaruit zou blijken dat de aanval gerelateerd is aan een kwetsbaarheid binnen Azure Active Directory. Het antivirusbedrijf heeft zijn eigen broncode, builds en verzendprocessen onderzocht en hun software ge-reverse-engineered. Op basis hiervan zegt Malwarebytes dat hun software veilig is om te gebruiken.

De aanval op Malwarebytes lijkt vergelijkbaar te zijn met de aanval op het Amerikaanse ministerie van Justitie. Begin januari kwamen de hackers in de Microsoft 365-omgeving van het ministerie, waar ze toegang kregen tot ongeveer drie procent van alle inboxen. Deze aanval werd op 24 december ontdekt.

Door Hayte Hugo

Redacteur

Feedback • 19-01-2021 21:4424

19-01-2021 • 21:44

24 Linkedin

Lees meer

Malwarebytes

geen prijs bekend

Score: 4

SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd Nieuws van 10 mei 2021
VS legt sancties op aan Rusland wegens cyberaanvallen SolarWinds Nieuws van 16 april 2021
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden Nieuws van 18 februari 2021
Hacker poogde Floridase waterzuivering te vergiftigen door zuurgraad te wijzigen Nieuws van 9 februari 2021
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt Nieuws van 19 januari 2021
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie Nieuws van 7 januari 2021
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack Nieuws van 3 januari 2021
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode Nieuws van 1 januari 2021
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen' Nieuws van 25 december 2020
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack Nieuws van 22 december 2020
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack Nieuws van 18 december 2020
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Plus Nieuws van 17 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit Nieuws van 14 december 2020
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Cyberwarfare Hack Hackers SolarWinds Virusscanner

Reacties (24)

-Moderatie-faq
-124019+111+22+30Ongemodereerd7
Wijzig sortering
dycell
@kuurtjes19 januari 2021 22:11
Een Microsoft partner was ook geraakt door de solar winds aanval. Microsoft partners hebben toegang tot klanten Office 365 omgevingen (genaamd tenants) als ze geassocieerd staan met de omgeving.
Microsoft partners moeten daarentegen vergaande beveiliging doorvoeren zoals MFA op alle accounts die toegang hebben tot klant systemen. Dat geeft wel aan hoe geavanceerd deze aanval is geweest.

Blijkbaar hebben ze enkel met gehackte Oauth tokens en Office 365 APIs gewerkt. Dit gaat allemaal mij ver de pet te boven. Dit is geen hobby club geweest.
Iblies
@dycell20 januari 2021 10:41
KISS,
keep it simple stupid.

Veel bedrijven maken zich schuldig aan dat ze er een warboel van maken, Microsoft ook. Te veel opties en functies en zoals het er uit ziet kan MS het niet zo snel op korte termijn oplossen, integendeel.


https://blogs.microsoft.c...urity-solarwinds-fireeye/
This represents a growing option for nation-states to either build or buy the tools needed for sophisticated cyberattacks. And if there has been one constant in the world of software over the past five decades, it is that money is always more plentiful than talent. An industry segment that aids offensive cyberattacks spells bad news on two fronts. First, it adds even more capability to the leading nation-state attackers, and second, it generates cyberattack proliferation to other governments that have the money but not the people to create their own weapons. In short, it adds another significant element to the cybersecurity threat landscape
Voor de goede orde,
de VS, maar elk ander land, is de afgelopen jaren flink geraakt door hacks waar ze zelf niet tijdig bij zijn gekomen. Desalniettemin kiezen ze er voor om het te propageren als een aanval die hoofdzakelijk armere landen zal raken...

Zal geen verassing zijn wie dan de redder in nood zou moeten zijn.
Deralte
@Iblies20 januari 2021 22:47
KISS,
keep it simple stupid.
Altijd gedacht dat het Keep It Short and Simple was.
xajorkith
@dycell19 januari 2021 23:17
Oauth tokens zijn in dit geval niet anders dan de cached credentials waar hackers normaal mee werken om verder in het systeem te komen. Eenmaal de goede token te pakken ben je er. De office 365 apis zijn natuurlijk al perfect beschreven. Natuurlijk blijft het altijd knap hoe ze op de systemen komen om de credentials te stelen, dat doe ik ze niet na.
dycell
@xajorkith19 januari 2021 23:46
Ik snap de functie van de authenticatie tokens gezien ik ook redelijk bekend ben met kerberos authenticatie. Maar het is veel lastiger gezien het een veel modernere methode is. Ik kijk erg uit naar een gedetailleerde rapportage van deze hack. En dan specifiek wat we kunnen doen om deze te detecteren Microsoft is erg goed in de uitleg hiervan en ze zullen transparant moeten zijn met partners (waar ik werk). Zie ook:

https://blogs.microsoft.c...urity-solarwinds-fireeye/
Snurk
@dycell20 januari 2021 00:29
Met de juiste phishing tooling is dat tegenwoordig vrij simpel af te vangen, ook met MFA. De code staat gewoon op github: https://github.com/gophish/gophish
Mellow Jack
@dycell20 januari 2021 08:09
De SolarWinds-kraak lijkt simpel te verklaren (hun bouwstraat was gehacked). Het toegang verschaffen en de manier waarop laat vooral zien dat ze hun tijd hebben genomen om het bedrijf te leren kennen. Geen idee hoe ze zijn binnengekomen maar de rest lijkt vooralsnog niet heel complex. (Voor een persoon die wel eens een bouwstraat heeft geknutseld)

Dit verhaal is anders, als jij iemand infecteert en diegene z'n laptop kan "remote controlen" is de rest niet zo lastig. Je wacht rustig totdat diegene zelf gaat inloggen op office365, daarna gebruik je die informatie om op de achtergrond api calls te doen. Geen idee wat hier is gebeurd maar het kan iets simpels zijn

[Reactie gewijzigd door Mellow Jack op 20 januari 2021 08:10]

DefaultError
@Mellow Jack20 januari 2021 09:47
Je moet dan alsnog door een aantal lagen heen om de beveiliging schil af te pellen, uitgezonderd kwetsbaarheden.

De hack van SolarWinds is volgens mij een reverse engineering koekoeksei waarbij de ‘hackers’ zich in de update hebben genesteld.

En ze zijn inmiddels verder gekomen dan SolarWinds. Je moet toch over aardig wat skills beschikken. Benieuwd wie erachter zit.
Mellow Jack
@DefaultError20 januari 2021 11:05
Je moet dan alsnog door een aantal lagen heen om de beveiliging schil af te pellen, uitgezonderd kwetsbaarheden.
In het geval van O365 niet zozeer, als je een laptop met actieve sessie kan besturen kan je alles doen wat die persoon mag doen.
De hack van SolarWinds is volgens mij een reverse engineering koekoeksei waarbij de ‘hackers’ zich in de update hebben genesteld.
Wat ik tot nu toe heb gelezen is hetgeen wat ze hebben gedaan simplistisch gezegd het msbuild.exe proces gemonitored. Als Orion langs kwam injecteerde ze hun eigen stukje code.

In feite kan iedereen die werkt met een software build omgeving dit doen. Tot nu toe weinig gezien wat ik niet kan. En nee ik heb niet echte skills waardoor ik tot de top behoor :p Dat maakt het juist zo geniaal :p Dit is een hack waarbij heel veel tijd is genomen voor het vergaren van informatie. Geen idee nog of dit via een hack is geweest of bijv social engineering. Dit is het geniale want qua skills valt het injecteren in Orion mee maar de hoeveelheid inhoudelijke kennis je daarvoor moet hebben is echt enorm.
DefaultError
@Mellow Jack20 januari 2021 20:20
Het lijkt me dat Solar Winds niet direct een remote desktop heeft draaien of directe toegang tot ssh zodat dit toegankelijk is vanaf het net. De vraag is hoe zijn ze binnen gekomen om te gaan sleutelen aan de bestanden. Als je een keer binnen in het interne netwerk bent dan is de truc niet zo moeilijk voor een geoefende virusprogrameur.
Mellow Jack
@DefaultError20 januari 2021 21:17
Heb daar nog weinig details over gelezen maar stel je voor dat SolarWinds 1000 developers heeft, stel je ook voor dat ze sterk gestandaardiseerd werken, stel je als laatste nog eens voor dat ze vanwege eerste 2 aannames ook nog eens hun build agents hebben gestandaardiseerd.

In feite heb je maar 1 developer nodig die aan 1 of ander flut tooltje werkt die per toeval gebouwd kan worden in die gestandaardiseerde pool van build agents en je bent al de sjaak

En dan heb ik het alleen nog over het sociale vlak (iemand is omgekocht of geïnfiltreerd cq. een externe zzp'er).
DefaultError
@Mellow Jack20 januari 2021 22:11
Inderdaad, maar een van de duizend hoeft op een malafide link te klikken en je bent binnen om vervolgens nog meer schade aan te brengen.

Of je loopt naar binnen, met een vals pasje, om in te prikken, of je graaft een gat. Heel erg simpel, maar ik denk eerder dat het op afstand gaat.

Suggesties genoeg hoe het suggestief mogelijk gemaakt kan worden. En dan vervolgens de uitvoering, lijkt me wederom helaas een meester zet.

Wat zit er in deze software zodat een plotselinge toegevoegde remote scripting niet opvalt?
Mellow Jack
@DefaultError20 januari 2021 23:07
Wat zit er in deze software zodat een plotselinge toegevoegde remote scripting niet opvalt?
Dat zijn 2 vragen in 1.

Aller eerst de software build omgeving waar SolarWinds Orion is wordt gemaakt. Iedere systeem beheerder die bij een middle grote tot grote software development organisatie kan je vertellen dat software ontwikkeling vanaf de buitenkant (bijv. zoals de virus scanner ernaar kijkt) gezien wordt als hacking. Build omgevingen zitten dan ook vaak bomvol met uitzonderingen. Natuurlijk kan je dit op talloze manieren oplossen maar als je eenmaal op dit niveau gecomprimeerd bent is het een complex verhaal.

Daarnaast gaat het natuurlijk om Orion zelf. Orion doet aan monitoring. Dit gebeurt op talloze manieren, sommige systemen leveren de data aan, in sommige gevallen wordt ergens een agent geïnstalleerd en in sommige gevallen gebruiken ze idd ssh of winrm om informatie te vergaren. Ook hier heb je 1000e implementaties, beveiliging methodes enz dus probeer het simpel te houden. Als je een website host en dit gaat monitoren. Leuk als er een alarm af gaat zodat iemand van ICT gaat kijken. Nog leuker als de monitoring tool de mogelijkheid aan de ICT'er biedt om direct een scriptje op die omgeving te runnen die het probleem verhelpt. Nog leuker als je monitoring platform simpele problemen volledig automatisch fixed. Een monitoring platform voor een datacenter heeft dus 1000e componenten waarmee hij interactie heeft. Je moet je monitoring vertrouwen of zodanig implementeren dat misbruik niet mogelijk is (tot nu gingen we voor optie 1 met een beetje 2 want optie 2 kost enorm veel geld en maakt alles lastig).

Het slimme aan deze hack is dus dat een monitoring tool vaak toch wel ergens toegang heeft waar iets is waar hij misbruik van kan maken zonder bellen te laten rinkelen.

Bijv.:
- systemen die naar het internet mogen communiceren
- systemen waar mensen op inloggen
- systemen waar vanaf mensen naar online diensten gaan (office 365 oauth tokens kapen)
- systemen waar wachtwoorden zijn opgeslagen
- enz enz enz

In theorie kan een monitoring tool heel veel tegenkomen en ook heel veel doen wat gewoon gezien wordt als legitiem gedrag

Nu wil ik niet zeggen dat het simpel is wat hier is gebeurd. Het vereist veel tijd, veel kennis van SolarWinds en Orion en daarna net zoveel zo niet meer tijd, mogelijk wat zero days en skills om nuttige dingen te stelen bij de klanten van Orion (de uiteindelijke doelwitten)... als je kijkt wie zijn getroffen dan zijn dat niet de minste
DefaultError
@Mellow Jack21 januari 2021 10:10
40 a 50 jaar geleden was het ook mogelijk om een script in te zetten bij een remote of ssh poging. Om het in z’n geheel op 1000 employs af te stemmen kun je een reeks aan ip nummers inzetten. Deze weer hardwarematig verbinden. Spoofen wordt dan moeilijker, en het uitwisselen van een snoeppot is ook een optie. Zitten ze bij Solar Winds gezellig een kopje thee te drinken.

Het lijkt een haut knok partij te worden, wie het best kan schaken en kraken.
Potenscia
@xajorkith20 januari 2021 00:22
dat doe ik ze niet na.
Dat is maar goed ook :+
3raser
@kuurtjes19 januari 2021 22:09
Zij beheren die systemen toch? Ik neem aan dat ze dan ook de aanvallen op die servers in de gaten houden. Dat kan prima zonder de privacy te schenden.
KeesAlderlieste
@kuurtjes19 januari 2021 22:10
Een van de reden kan zijn dat ze eigenaar zijn van Office365.... En jij wilt liever niet gewaarschuwd worden wanneer anderen toegang proberen te krijgen tot jouw mail e.d.?
dasiro
@kuurtjes19 januari 2021 22:36
Als je niet weet wat Office 365 en Azure Active Directory is, onthou je dan van zulke fipo's die kant nog wal raken
dasiro
19 januari 2021 22:42
opvallend dat er maar tot een beperkt aantal inboxen toegang is gekregen, wat doet vermoeden dat ze ofwel erg specifiek getarget zijn of dat er security-gewijs misschien iets mis was (bvb herbruikte, niet unieke paswoorden).
Wat ook opmerkelijk is, is het zoveel later in een schijnbaar vergelijkbare omgeving opnieuw mogelijk is. Je zou toch denken dat ze tijd genoeg hebben gehad om de aanval te onderzoeken en een zelfde soort verdacht gedrag proactief zouden kunnen monitorren en ingrijpen vanaf het echt een bedreiging vormt voordat er data wordt gecompromitteerd.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.

Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee