Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya

Vijf ex-werknemers van Kaseya beweren tegenover Bloomberg dat ze op verschillende momenten tussen 2017 en 2020 hebben geprobeerd het bedrijf te attenderen op de in hun ogen slechte situatie rondom cybersecurity bij het bedrijf, maar dat daar niets mee werd gedaan.

De vijf ex-werknemers doen hun verhaal anoniem tegen Bloomberg, omdat ze bang zijn voor represailles of omdat ze non-disclosure agreements hebben ondertekend. Het zou gaan om software-ontwikkelaars en engineers. Of Bloomberg hun beweringen heeft geverifieerd, meldt het financieel persbureau niet in het artikel. Kaseya is wel om een reactie gevraagd, maar die gaf het niet, omdat het 'beleid heeft om geen commentaar te leveren over personeelszaken en het nog lopende gerechtelijke onderzoek naar de hack'.

De oud-werknemers beweren dat Kaseya 'oude code en zwakke versleuteling en wachtwoorden gebruikte en zich niet kon houden aan de meest basale cybersecurityprocedures, zoals patches uitbrengen'. Een van die werknemers zou een rapport van veertig pagina's hebben geschreven over de kwetsbaarheden in Kaseya-software. Twee weken later werd hij ontslagen. De werknemer zelf vermoedt dat dat kwam door dat rapport.

Een andere werknemer vertelt aan Bloomberg dat servers en software niet alleen nauwelijks gepatcht werden, maar dat wachtwoorden van klanten ook in plaintext opgeslagen werden, dus zonder enige versleuteling. Deze werknemer en nog een andere waarschuwden ook specifiek voor de kwetsbaarheden in Kaseya VSA, de software die betrokken was bij de REvil-hack van kort geleden. Ze omschreven VSA als 'sterk verouderd en vol met problemen' en bevalen aan dat het volledig vervangen zou worden.

Vanwege de frustraties rond security zou personeel van het Amerikaanse bedrijf ook opgestapt zijn. Sinds 2018 begonnen daarnaast ook ontslagen te vallen, toen Kaseya besloot een deel van de ontwikkeling te outsourcen naar Belarus; daar ging meer dan 40 man aan de slag voor het bedrijf. Vier van de vijf ex-werknemers van dit verhaal beschouwden dat ook als een securityrisico, wegens de banden van dat land met Rusland, waar REvil vermoedelijk ook banden mee heeft.

Bloomberg citeert echter ook de Nederlandse onderzoekers van het DIVD, die een deel van de kwetsbaarheden die bij de hack werden uitgebuit, enkele maanden eerder al meldden. Zij ervaarden Kaseya als 'zeer meewerkend' en vonden dat ze een 'toewijding toonden aan de juiste koers varen'.

De aanval op Kaseya VSA vond op vrijdag 2 juli plaats. VSA is een ict-beheersoftware die systeembeheerders gebruiken om de systemen van hun klanten te beheren. REvil wist Kaseya te hacken en de VSA-software aan te passen. Het eindresultaat daarvan was dat er ransomware geïnstalleerd werd op talloze computers van de klanten van die beheerders. Tweakers heeft een achtergrondverhaal over de aanval geschreven.

Reacties (46)

OxWax 11 juli 2021 12:05

Ik denk dat we een bingo hebben " toen Kaseya besloot een deel van de ontwikkeling te outsourcen naar Wit-Rusland; daar ging meer dan 40 man aan de slag voor het bedrijf.
Buitenkansje ...

InsanelyHack @OxWax • 11 juli 2021 12:16

Ja ik begrijp dat bij mijn bedrijf ook niet. Wij (Groot Global IT bedrijf) hebben zelfs kantoren in Rusland maar moeten wel ieder jaar onze code of security ethics cursus halen. Niks ten nadele van die collega's maar als zo obvious vaststaat dat Rusland achter dit soort hacks zit dan is het misschien toch het overwegen waard om die banden te verbreken. Misschien is de Hacking economie groter dan de "fatsoenlijke" economie. Misschien dat dan Poetin er wel wat aan gaat doen als blijkt dat de "fatsoenlijke" economie toch meer in het laatje brengt. Uiteindelijk draait het allemaal om geld natuurlijk. Ik snap onze klanten ook niet. Die weten dat op delen van hun / onze infra Russen onderhoud plegen. Een beetje goede "demand" manager eist de garantie dat dat NIET gebeurd en anders overstappen naar een ander bedrijf.

janbaarda @InsanelyHack • 11 juli 2021 12:45

als zo obvious vaststaat dat Rusland achter dit soort hacks zit

Dat is het dus niet. Het is zelfs onwaarschijnlijk dat Rusland er achter zit. Hetzelfde geldt voor outsourcen naar Indië, of welk ander land dan ook. Als de kwaliteit van het geleverde werk niet goed is houdt het op. Wat voor mij niet geheel duidelijk is wie de eigenaar van de Russische vestiging is: is dat Kaseya zelf, of een specifiek op outsourcing gericht software bedrijf?

Overigens hoort de beveiliging intrinsiek te zijn en niet afhankelijk van een derde partij. Uit het artikel blijkt dat dit dus niet het geval is.

Iblies @janbaarda • 11 juli 2021 13:14

Hetzelfde geldt voor outsourcen naar Indië, of welk ander land dan ook.

Daar ga je de fout in.

https://www.hackread.com/...support-scam-call-center/

Firstly, he traced these fake tech support scammers (call agents) to be from call centers in India and then went on a rather daring way to attack them. He did so by allowing them to establish a remote connection to his own computer giving them the view that they had conned him.

Prachtig verhaal over hoe dergelijke clubjes in India opereren. Dit soort clubjes komen voort uit outsourcen van helpdesk maar laatste jaren wordt dat weer teruggehaald. Door het aantal werklozen is de kans groot op sjoemelaars, echter,
de (lokale) overheid gaat hier dus echt geen prioriteit aan geven als ze het klein houden. Dat het “oneerlijk” is staan ze niet te lang bij stil.

Hetzelfde gold ook voor de yahoo-boys uit Nigeria, (419 scam , https://en.m.wikipedia.org/wiki/Advance-fee_scam ) ook geen prioriteit.

In Rusland geld dezelfde code ongeveer.
Laat lokale en buren naties met rust,
voor de rest, doe wat je wilt, zolang er maar geen doden vallen of (serieuze) ongelukken. Het heeft geen prioriteit.

Ik durf daarbij zelfs te stellen dat de Russische overheid het lekker laat lopen gezien de economische sancties van afgelopen jaren. Laat het westen lekker (financieel) bloeden voor de afwisseling.

OxWax @janbaarda • 11 juli 2021 13:03

[...]
Dat is het dus niet. Het is zelfs onwaarschijnlijk dat Rusland er achter zit.

Oh really?
they are thought to be based in Russia due to the fact that the group does not target Russian organizations, or those in former Soviet-bloc countries

https://www.itnews.com.au...-a-service-attacks-537189

kodak

Networking en security
Hack
Ransomware
Hackers

@OxWax • 11 juli 2021 15:30

Criminelen kiezen wel vaker uit bij wie ze het onacceptabel vinden om slachtoffer te maken. Bijvoorbeeld om er zelf zo min mogelijk last van te hebben. Als criminelen in eigen land slachtoffers maken heb je bijvoorbeeld meer kans om opgespoord te worden. Criminaliteit in het buitenland krijgt in veel landen niet zomaar meer prioriteit dan die in het eigen land. En zelfs dan is er al verschil in het soort criminaliteit, slachtoffers en schade om wel prioriteit te geven. Het heeft zelfs heel veel jaren gekost om verkeersboetes in de EU aan te laten pakken.

OxWax @kodak • 11 juli 2021 15:33

dat is toch net wat ik zeg? Rusland levert niet alleen niet uit, Rusland straft ook hard dus je zou wel gek zijn om Putin boos te maken als Russische inwoner

bbob @OxWax • 11 juli 2021 15:45

Natuurlijk kiezen ze als het Russische criminelen zijn geen Russische doelen.
Denk even na, wat gebeurt er denk je als een criminele Russische groep Russische doelen gaat kiezen.
Dan krijgen ze het hele staatsapparaat achter zich aan. Het idee enkeltje Siberië schrikt ook genoeg af, na gemarteld te zijn.
Je heelt het niet in je hoofd dit in je eigen land te doen waar mensenrechten, sorry mensen bijna geen rechten hebben als je iets tegen de staat doet.
dus doe je het lekker in westerse landen waar je niet aan uitgeleverd zal worden, tenzij je zo dom bent ze te bezoeken.

draadloos @OxWax • 11 juli 2021 16:35

Dat impliceert niet dat Rusland erachter zit, hooguit inwoners van dat land.

JackBol @draadloos • 12 juli 2021 06:42

Denk je nou echt dat dit zonder toestemming van Putin gebeurd?

DropjesLover @JackBol • 12 juli 2021 10:11

Absoluut.
Wel dat Putin, of zijn minister van justitie en veiligheid, er voor kan kiezen om domweg geen prioriteit bij de opsporing van dergelijke groepen / personen te leggen. Dat is niet zelf toestemming geven.
Er zijn filmpjes van dergelijke hackers die in dikke auto's burnouts en doughnuts maken op de openbare weg terwijl de politie toe kijkt maar niet ingrijpt.

TheVivaldi @OxWax • 11 juli 2021 16:56

“or those in former Soviet-bloc countries” --> De groep kan dus ook uit een buurland komen, gezien die landen ook met rust worden gelaten.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 01:37]

The Reeferman @InsanelyHack • 11 juli 2021 13:29

Rusland heeft 6 jaar geleden een voorstel gedaan om internationale afspraken te maken mbt cyber crime en security, de VS weigert dit tot nu toe, maar lijkt nu misschien toch op het voorstel in te gaan. Laat je niet op het verkeerde been zetten door propaganda.

"The warning that Sanger implies Biden allegedly made was never given. Biden himself is quoted in the next paragraph (emph. add.):

“I made it very clear to him that the United States expects, when a ransomware operation is coming from his soil, even though it’s not sponsored by the state, we expect them to act if we give them enough information to act on who that is,” Mr. Biden told reporters.
There is the crucial point. The U.S. does not know who made those attacks or where they were actually controlled from. It has not given Russia any names or evidence that Russia could act on. The Kremlin readout of Biden's call with Putin explicitly makes that point:

In the context of recent reports on a series of cyberattacks ostensibly made from Russian territory, Vladimir Putin noted that despite Russia’s willingness to curb criminal manifestations in the information space through a concerted effort, no inquiries on these issues have been received from US agencies in the last month. At the same time, considering the scale and seriousness of the challenges in this area, Russia and the US must maintain permanent, professional and non-politicised cooperation. This must be conducted through specialised information exchange channels between the authorised government agencies, through bilateral judicial mechanisms and while observing the provisions of international law.
The leaders emphasised the need for detailed and constructive cooperation in cybersecurity and for the continuation of such contacts.

Russia has long suggested to set up deeper talks and a treaty about cybersecurity issues. In a short interlude with the media President Biden said that meetings about these will now take place:"
source: https://www.moonofalabama...ryptocurrencies.html#more

Bob de Slager @The Reeferman • 12 juli 2021 09:18

Altijd lachen met het kremlin, de bankrover wilde al jaren terug onderhandelen over regels bij bankovervallen, bankrover good guy amirite?

Sandor_Clegane @InsanelyHack • 11 juli 2021 12:26

Winstmaximalisatie. Het is niet zo moeilijk.

Randfiguur @InsanelyHack • 11 juli 2021 12:36

Wit-Rusland en Rusland zijn in bepaalde opzichten dan wel close, maar toch echt verschillende landen.

ejabberd @InsanelyHack • 11 juli 2021 13:49

Aan de andere kant wil je ook niet dat die (Wit-)Russische specialisten geen job vinden in de reguliere sector. Dat was ook de reden voor de VS om na de val van de muur te gaan samenwerken met de Russen in de ruimte. Men wilde niet dat al die raketspecialisten uit pure armoede zouden moeten solliciteren bij allerlei regimes.

rob12424 @InsanelyHack • 11 juli 2021 12:47

Aan de andere kant ga je ook niet je eigen ramen in gooien (alhoewel je dat ook niet zeker weet bijvoorbeeld Iran Contra schandaal)

Blokker_1999

Hackers
Ransomware
Hack
Networking en security

@OxWax • 11 juli 2021 12:27

Alsof Russische diensten niet zouden kunnen infiltreren in bedrijven die enkel vestigingen hebben in het westen...

Aerophobia1 @Blokker_1999 • 11 juli 2021 14:15

Er hoeft maar 1 iemand achter de firewall ergens een USB stick in te stoppen, om bv. de wachtwoorden (in plain text nog wel) te saven of malware in het systeem te laden.
Dan kun je nog zulke mooie beveiliging hebben.
Tegen dat soort menselijk interactie valt stuk moeilijker te beveiligen.

janbaarda @Blokker_1999 • 11 juli 2021 12:47

Zelfs onze politie inbreekdiensten kunnen dat. Pas nog een illegale bende op deze manier opgerold.

kodak

Networking en security
Hack
Ransomware
Hackers

@OxWax • 11 juli 2021 15:00

Outsourcing is natuurlijk nooit zonder risico, maar ook niet zomaar oorzaak van een probleem. Er lijkt al sinds 2018 outsourcing te zijn, dan is dat na bijna 4 jaar niet plotseling een groter risico omdat criminelen nu gebruik maken van een security bug. En aangezien er zelfs al voor het outsourcen security bugs waren kun je zelfs niet zomaar stellen dat het aan de huidige ontwikkelaars ligt dat criminelen er gebruik van maken.

ALittleTooLate @OxWax • 11 juli 2021 12:29

...

[Reactie gewijzigd door ALittleTooLate op 24 juli 2024 01:37]

HoppyF @ALittleTooLate • 11 juli 2021 12:38

Ik mag hopen dat het hier niet om de overheid gaat.

HoppyF @ALittleTooLate • 11 juli 2021 12:50

Kwalijke zaak want zo haal je het paard van Troje binnen.
Jij kunt er niets aan doen maar ik vind dit wel iets waar de AIVD iets mee moet doen.
De opdrachtgever is uiteraard ook verantwoordelijk voor deze gang van zaken.
Ik heb zelf lang bij de overheid gewerkt en weet wel dat dit voorheen nooit zou gebeuren.

HoppyF @ALittleTooLate • 11 juli 2021 13:03

Ik betwijfel dit.
Weet niet wie het antecedenten onderzoek of veiligheidsonderzoek heeft gedaan maar ik weet wel dat dit zorgvuldig moet gebeuren. Logisch ook als het bedrijfsgevoelige of zaken die met de staatsveiligheid te maken hebben. Beetje off-topic hier weliswaar.

Anoniem: 414757 11 juli 2021 12:01

Is er dan geen externe partij bij geweest die een audit heeft gedaan om hun software door te lichten? Dan zou dat er toch uit moeten rollen?
Zijn ze niet gecertificeerd dan?

Bschnitz @Anoniem: 414757 • 11 juli 2021 12:10

Zie Kaseya als Lego, een bouwsteen is veilig. Wat er gebeurt als je meer bouwstenen gebruikt hangt van je ontwerp af, ze koppelen ook met derden voor bepaalde opties. Denk dat als er een audit was, ze deze alleen op de eerste bouwsteen hebben gedaan. Niet de extra 200+ opties die je kan kiezen, je kan er echt alles mee wat je kan bedenken. Die eerste bouwsteen heeft dus hierdoor min of meer root access nodig, anders kan je er niet alles mee. Remote support, monitoring, AV, patchwork. Dat zijn maar een paar voorbeelden wat je ermee kan.

dasiro @Bschnitz • 11 juli 2021 12:16

concreter: office is veilig, maar daarom niet de office-macro's

kodak

Networking en security
Hack
Ransomware
Hackers

@Bschnitz • 11 juli 2021 15:12

En op basis van wat trek je de conclusie dat de stenen die jij ziet veilig zouden zijn?

Dat het bij elkaar doen van onderdelen voor risico zorgt wil daarbij niet zeggen dat de onderdelen zelf al geen risico meebrengen. Zoals @Anoniem: 414757 dus terecht vraagt: is er geen audit gedaan? Dat gaat dus net zo goed op voor losse delen en zelfs het proces om die te maken en onderhouden. Er lijkt tot nu toe niet duidelijk waarom deze software en services te vertrouwen zijn om voor beheer te gebruiken, laat staan door anderen die dat voor je doen?

Anoniem: 294759 @Anoniem: 414757 • 11 juli 2021 13:36

Audit zijn zo goed net als de manier hoe je het instelt. Als het audit systeem een afgezwakte audit doet omdat de mensen aan de top willen dat het product zsm op de markt komt dan is dat bewust ingecalculeerd want zo blijven kosten binnen de perken. En er is niet of nauwelijks verantwoordelijkheid af te dwingen om een product goed en veilig af te leveren.

En het is met die reden denk ik dat het zover heeft kunnen komen.

Anoniem: 414757 @Anoniem: 294759 • 11 juli 2021 18:05

Daarom gebruik je een externe instantie. Dan loop je het minste risico dat je op basis van zelfingenomenheid fouten maakt.

jordynegen11 11 juli 2021 12:15

Bedrijven die niet transparant zijn tegenover de klanten vanwege "beleid" vind ik per definitie al verdacht. Heb een hekel aan bedrijven die alles of een deel in de doofpot proberen te stoppen.

Ookal is de waarheid hard, dan denk ik dat je meer klanten gaat behouden met de waarheid, verbetering en excuses. Zeker tegenover mensen die in deze doelgroep vallen. Die vergeten en vergeven namelijk niet zo snel.

[Reactie gewijzigd door jordynegen11 op 24 juli 2024 01:37]

HoppyF @jordynegen11 • 11 juli 2021 12:40

Mee eens.
Iets in de doofpot proberen te stoppen gaat vast wel een tijdje goed maar niet eeuwig.
Op een gegeven moment val je door de mand en gaat je bedrijf failliet of loopt de business aanzienlijk terug. Eerlijkheid werkt het langst.

PeterLemmen 11 juli 2021 12:01

Helaas al te geloofwaardig. Zelfs zoiets simpels als Windows Update een paar keer per jaar draaien is 'lastig' voor veel beheer organisaties. Als er dan ook nog eigen gebouwde software bij komt kijken is security vaak helemaal zoek.

418O2 @PeterLemmen • 11 juli 2021 15:04

Windows update draaien kan nogal een grote operatie zijn

zalazar 11 juli 2021 12:07

Afgezien van de bedrijven die nu last hebben van de ransomware is er dan ook een andere kant van het verhaal. Misschien is het zelfs wel beter dat het zo gelopen is omdat op deze manier Kaseya met de neus op de feiten is gedrukt.
Als door de melding van DIVD, het uitbrengen van de patch op tijd was geweest dan hadden we dit allemaal niet geweten.
Het is te hopen dat andere bedrijven waar dit soort problemen spelen nu ook eens willen investeren in security in plaats van het alleen te zien als een kostenpost.

HoppyF 11 juli 2021 12:13

Een dergelijk bericht verbaasd mij niets.
Er zijn meestal wel medewerkers die goed inzicht hebben en tijdig waarschuwen.
Krijgen ze geen gehoor dan nemen ze ontslag of ze worden ontslagen en verweten klokkenluider te zijn.
Klokkenluiders hebben volledige rechtsbescherming nodig en hebben ook recht op geld van de overheid.
Misstanden moeten immers niet onder het kleed worden geschoven.
Een NDA stelt weinig voor in dit geval want het aan de kaak stellen van misstanden is een maatschappelijk belang en staat boven een NDA.
Je zou anders nooit misstanden kunnen melden.

GertMenkel

Hack
Networking en security

11 juli 2021 12:40

Ik weet niet of ik Blomberg vertrouw op dit gebied. Vijf ongenoemde werknemers en een paar securitybedrijven die positief in het nieuws willen komen zou ik van een normale nieuwsbron wel vetrouwen, maar Bloomberg heeft de neiging nieuws compleet te verzinnen (de Chinezen stoppen onzichtbare chips in onze servers! PANIEK!) zou ik hier toch bevestiging van willen zien in andere nieuwsbronnen eer ik het geloof.

Helemaal aangezien die Nederlandse partij met goede reputatie zegt dat het bedrijf meewerkte en alleen maar positieve ervaringen had, ben ik terughoudend de beschuldigingen van Bloomberg te vertrouwen.

Onder de streep is dit natuurlijk altijd wel een risico met software. Veel bedrijven willen goedkope software uitbrengen met veel features en security is daarbij iets dat achteraf nog even snel gecorrigeerd moet worden. Je development outsourcen naar een goedkoop land kan prima, als je maar regelmatig controles en audits doet door een extern team dat de functionaliteit en security test en de fouten ook corrigeert. Dat kost je een bak van je kostenbesparingen natuurlijk, dus bedrijven die hun werk outsourcen zijn juist geneigd dit niet te doen.

Iblies @GertMenkel • 11 juli 2021 13:27

Terecht punt, het is ook een veel te makkelijk verhaal, maar het trekt weer (verkeerde) aandacht.

Ransomware speelt alweer een paar jaar en de inzet wordt steeds hoger waarbij afpersers de competitie kunnen aangaan met geheime diensten met betrekking tot 0-days. Door de hogere bedragen kunnen ze 0-days afkopen.

De illusie die gekweekt wordt door bloomberg dat er persoonlijke vetes hebben gespeeld is te ver gezocht. Uiteindelijk moeten bedrijven een stap terug doen en meer controle over hun eigen ict krijgen waarbij risico’s opnieuw gewogen moeten worden. En met name dat laatste stukje lijkt compleet afwezig in het artikel.

biglia 11 juli 2021 13:25

De vijf ex-werknemers doen hun verhaal anoniem tegen Bloomberg, omdat ze bang zijn voor represailles of omdat ze non-disclosure agreements hebben ondertekend.

...

Een van die werknemers zou een rapport van veertig pagina's hebben geschreven over de kwetsbaarheden in Kaseya-software. Twee weken later werd hij ontslagen. De werknemer zelf vermoedt dat dat kwam door dat rapport.

Zoveel werknemers zullen er niet geweest zijn die een rapport van 40 pagina's hebben geschreven en vervolgens 2 weken later zijn ontslagen. Dus heel anoniem is het niet.

OxWax 11 juli 2021 15:27

Bedrijf hier heeft betaald :

Ransomware-aanval bij Itxx ten einde na betaling losgeld

Antwerpen, 11 juli 2021 - De ransomware-aanval bij managed service provider ITxx is ten einde. Na betaling van een losgeld van zo'n 300 000 USD (+/- € 252 000) ontving ITxx van de hackers de encryptiesleutels voor de data.
https://www.itxx.be/

Hier stel ik me toch vragen bij ...
Voorlopige onderzoeksresultaten door Secutec wijzen erop dat er geen bedrijfs-, klanten- of werknemersgegevens zijn gecompromitteerd. Ook qua beveiliging van de infrastructuur en klantendata wijst alles erop dat ITxx geen schuld trof in de ransomware-aanval. Oh nee? Wie dan wel?

[Reactie gewijzigd door OxWax op 24 juli 2024 01:37]

m_snel @OxWax • 11 juli 2021 18:38

Als dit over bovengenoemde artikel gaat dan bleek uit de eerdere analyse dat ze een encryptie agent via de beheer servers net netwerk van de onderliggende klanten verspreiden. Dus niet een agent om data te stelen, en dat kan je natuurlijk makkelijk na gaan, offer data naar buiten gestuurd is.

Op dit item kan niet meer gereageerd worden.

Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya

Lees meer

Ransomware in Kaseya-systemen

Reacties (46)

Sorteer op:

Weergave: