SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd

Het aantal gebruikers van SolarWinds dat door het supply-chain-lek van vorig jaar is geïnfecteerd ligt op minder dan honderd. SolarWinds heeft het onderzoek naar de Sunburst-achterdeur bijna afgerond en zegt dat het aantal getroffen klanten veel lager ligt dan gedacht.

SolarWinds zegt dat het daadwerkelijk aantal slachtoffers van de Sunburst-malware 'minder dan honderd is'. Het bedrijf heeft onderzoek gedaan naar Sunburst. Dat is de naam van een achterdeur die in december werd gevonden in de Orion-software van SolarWinds. Toen bleek dat hackers een update voor de software hadden geïnfecteerd met malware waarmee een verbinding naar een command-and-controlserver werd gelegd. Aanvankelijk werd gezegd, onder andere door SolarWinds zelf, dat 18.000 klanten potentieel kwetsbaar waren voor de kwetsbaarheid. Daarbij werd uitgegaan van het aantal klanten dat de geïnfecteerde update had gedownload.

Nu nuanceert SolarWinds dat getal. Van het aantal klanten dat de update heeft gedownload was er volgens het bedrijf een deel dat die vervolgens niet heeft geïnstalleerd. Een ander deel van de klanten gebruikte de update op servers die geen toegang hadden tot internet en daardoor niet konden worden voorzien van de achterdeur.

SolarWinds weet niet hoeveel klanten de geïnfecteerde update wel hebben gedownload. Het bedrijf zegt een schatting te maken op basis van dns-gegevens. Op basis van die 'statistische analyse' denkt het bedrijf naar eigen zeggen dat 'minder dan honderd klanten' met de c&c-server contact hebben gelegd. SolarWinds benadrukt dat ook de Amerikaanse autoriteiten en externe onderzoekers op dat getal uit kwamen. Onder die honderd klanten zaten wel grote namen: onder andere MalwareBytes en Microsoft zeiden dat de hackers toegang tot hun systemen hadden. Ook hebben de hackers toegeslagen op Amerikaanse ministeries, overheidsinstellingen en universiteiten.

Uit het onderzoek blijkt ook dat de broncode van de software van het bedrijf niet is aangepast, maar dat de achterdeur werd geplaatst via de geautomatiseerde build-software van Orion Platform. De hackers zouden al in oktober 2019 een test hebben uitgevoerd om malware in de update te plaatsen. Die werd uiteindelijk tussen maart en juni 2020 in de Orion-update verscheept.

Reacties (17)

Tomatoman 10 mei 2021 15:43

Nu nuanceert SolarWinds dat getal. Van het aantal klanten dat de update heeft gedownload was er volgens het bedrijf een deel dat die vervolgens niet heeft geïnstalleerd. Een ander deel van de klanten gebruikte de update op servers die geen toegang hadden tot internet en daardoor niet konden worden voorzien van de achterdeur.

En daardoor waren niet 18.000 maar minder dan 100 gebruikers geïnfecteerd? Dus van de 18.000 downloads zijn er 17.900 die ofwel nooit zijn geïnstalleerd ofwel op niet met het internet verbonden servers zijn geïnstalleerd? Dat weinig geloofwaardig. Het is mij niet duidelijk of het verhaal een stuk genuanceerder ligt dan in het nieuwsartikel vermeldt of dat SolarWinds de aantallen met wat handige aannames doelbewust laag inschat. Hoe dan ook, de tekst die ik hierboven citeer kan onmogelijk de volledige verklaring zijn.

Daarnaast spreekt SolarWinds over gebruikers, waarmee het klanten bedoelt. Een van die gebruikers is de grootste werkgever ter wereld: het Amerikaanse Department of Defense. Daar werken meer dan een miljoen mensen. Microsoft heeft 163.000 medewerkers. Gigantische organisaties dus, met enorme hoeveelheden servers. In de analyse van SolarWinds tellen deze beide organisaties mee als 2 gebruikers. Dat geeft wel aan hoezeer SolarWinds de omvang van de hack bagatelliseert.

SED @Tomatoman • 10 mei 2021 17:37

We now estimate that the actual number of customers who were hacked through SUNBURST to be fewer than 100.

Customers is niet gelijk aan gebruikers!!
Slechte vertaling of tekstbegrip dus.

ijdod

@SED • 10 mei 2021 21:49

Hangt van de definitie af. Ik zou in deze context uitgaan dat customers ~= gebruikers. ACME Inc is customer, en gebruiker. *mogelijk* dat er meerdere instances onder ACME draaien, maar of die dan meerdere keren meetellen is de vraag.

Raventhorn @Tomatoman • 10 mei 2021 16:51

We now estimate that the actual number of customers who were hacked through SUNBURST to be fewer than 100. It’s important to note that this group of up to 18,000 downloads includes two significant groups that could not have been affected by SUNBURST due to the inability of the malicious code to contact the threat actor command-and-control server: (1) those customers who did not install the downloaded version and (2) those customers who did install the affected version, but only did so on a server without access to the internet. Among a third group of customers, those whose affected servers accessed the internet, we believe, based on sample DNS data, only a very small proportion saw any activity with the command-and-control server deployed by the threat actor. This statistical analysis of the same DNS data leads to our belief that fewer than 100 customers had servers that communicated with the threat actor. This information is consistent with estimates provided by U.S. government entities and other researchers, and consistent with the presumption the attack was highly targeted.

Het lijkt dus, uit onderzoek door zowel SolarWinds zelf als onafhankelijke onderzoekers en onderdelen van de overheid van de VS, dat het gaat om een targeted attack.
Als dat ook echt waar is, is het ook niet heel vreemd dat er minder dan 100 klanten daadwerkelijk zijn gehackt; zeker gezien wat je zelf ook al aangeeft: het zijn gigantische organisaties. En dus ook gigantische netwerken waar je inzicht in moet zien te krijgen om er de interessante spullen uit te kunnen trekken zonder gelijk op te vallen.

Het zou mij dan ook oprecht niet verbazen als dit daadwerkelijk het geval blijkt te zijn, en ze ook aan de hackende kant gewoon onvoldoende kwalitatief personeel hadden om meer kwaad te kunnen doen voordat de supply chain attack ontdekt werd.

mjtdevries @Raventhorn • 10 mei 2021 18:13

Als dat ook echt waar is, is het ook niet heel vreemd dat er minder dan 100 klanten daadwerkelijk zijn gehackt;

Het punt is natuurlijk dat Tweakers maar de helft van het verhaal wat jij hier aanhaalt in het artikel heeft staan.

Dat van de 18.000 downloads are maar 100 geinstalleerd zijn op servers die het internet konden benaderen kan natuurlijk nooit waar zijn. Dat is waar Tomatoman op reageerd.

Jouw tekst verteld iets heel anders. Namelijk dat een gedeelte van de klanten niet kwetsbaar waren omdat het niet geinstalleerd was of niet op servers die internet konden bereiken.
En die andere 15.000 of zo die wel kwetsbaar waren, zijn blijkbaar niet gecompromiteerd omdat het een aanval op een specifieke groep was.

locke960 @Tomatoman • 10 mei 2021 17:39

Iedereen die de update gedownload en geïnstalleerd heeft is geïnfecteerd met malware.
SolarWinds lijkt te beweren dat de malware bij slechts 100 klanten echt aktief geworden is, om wat voor reden dan ook. (speculatie: Ik vermoed vooral omdat de malware die systemen niet interessant genoeg vond. De hackers waren waarschijnlijk uit op hoogwaardige buit.)

SolarWinds maakt met creatief taalgebruik dus onderscheid tussen "gehacked door Sunburst" (die 100 dus) en "rotte update gedownload en geïnstalleerd". Een twijfelachtig onderscheid als je het mij vraagt, maar de hele brontekst is overduidelijk door advocaten en PR medewerkers kapot gemasseerd dus je kunt ook niet veel verwachten.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

10 mei 2021 15:21

Misschien een dooddoener maar minder dan 100 zijn er nog steeds "minder dan honderd" te veel. Ik vraag mij af of Solarwinds deze deuk in het image wel weer goed te boven komt.

Het is wel goed om te lezen dat het aantal compromised klanten lager licht dan verwacht. Ik vraag mij wel af hoe betrouwbaar deze getallen zijn want vermoedelijk laat niet elk bedrijf een gedegen onderzoek uitvoeren.

[Reactie gewijzigd door Bor op 26 juli 2024 05:32]

beerse 10 mei 2021 15:48

Tja, getallen... statistiek... politiek...
Van de 18000 potentiële klanten zijn er 100 geïnfecteerd tot aan het punt dat de machies de infectie met succces uitvoeren. Dat is volgens mijn rekenmachine ruim een half procent (0,5555%) Dat is toch best wel veel.

De rest:
- draait geen updates
- werkt op afgeschermde machines
- heeft de machines zodanig geconfigureerd dat ze geen vreemde zaken mogen doen

Nystran @beerse • 10 mei 2021 21:49

Nee, grote klanten kunnen meer dan één keer downloaden. Worst case: ze hebben maar 100 klanten, maar met een paar multinationals en het DoD halen ze deze 18000 downloads

Lordy79 10 mei 2021 15:23

Ja ja... Minder dan 100... Maar ze weten het eigenlijk niet en gissen nu adhv DNS gegevens en gebruiken statistiek...
Dat zijn wel heel veel filters die de werkelijkheid vertroebelen

xbeam @Lordy79 • 10 mei 2021 18:13

En hoeveel maken er niet gebruik van solarwinds eigen dns server?

kalikatief 10 mei 2021 16:21

Wat zijn 'slachtoffers' hier? De organisaties die deze software draaien? Het lijkt mij dat er veel meer slachtoffers zijn dan dat: denk aan al de mensen van wie er (persoons)gegevens zijn opgeslagen op de gecompromitteerde systemen. Met alle megabedrijven die deze software gebruiken zullen dat er een aardig aantal zijn!

B38A12A 10 mei 2021 15:22

Ze hebben net N-able weer gerebrand naar N-able, en wat ze nu zeggen is dat het allemaal wel meevalt...

Ethirty @B38A12A • 10 mei 2021 16:02

Je hebt wel een punt, want hun RMM oplossing is inderdaad gerebrand, zeer waarschijnlijk door de naamschade.

Het product zelf is in al die jaren dat wij er mee werken nog nooit echt serieus gewijzigd en is nog steeds net zo traag als dag 1, maar de marketing machine heeft er al wel 3 of 4x een nieuwe naam aan gehangen.
Die nieuwe "huisstijl" komt overigens ook niet veel verder dan een logo van 30x30 in een ander kleurtje.

Alleen heb je Solarwinds / N-Able RMM aan de ene kant, en de Solarwinds met achterdeur aan de andere kant die bij klanten draaide. 2 heel verschillende producten schijnbaar. Maar of je het nu een nieuwe naam geeft of niet, die zure smaak raak je niet zo makkelijk meer kwijt.

janbaarda @Ethirty • 10 mei 2021 16:21

Bestrijding van het kwaad door een nieuwe naam.. Dit is typerend voor de luiheid van grote bedrijven. Geld besteden aan een goede beveiling en veilige processen levert kennelijk minder op dan marketing. Dit zegt ook iets over de klanten van Solarwind ..

SED @B38A12A • 10 mei 2021 17:38

Ze hebben net N-able weer gerebrand naar N-able

Of ik mis iets maar hier staat twee keer dezelfde productnaam.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (17)

Sorteer op:

Weergave: