Microsoft: hackersgroep achter SolarWinds is nog steeds actief

De Russische groep achter onder meer de SolarWinds-hack voert de laatste maanden nog steeds cyberaanvallen uit, meldt Microsoft op basis van eigen onderzoek. Nobelium infecteert ict-bedrijven in de supplychain met malware of ransomware.

Microsoft meldt dat het vanaf mei gecoördineerde cyberaanvallen heeft waargenomen bij tientallen bedrijven. Er zijn minstens 140 'technologiedienstverleners en doorverkopers' het doelwit geweest, waarvan er 14 'gecompromitteerd' zijn, concludeert het bedrijf. Microsoft schrijft de aanvallen toe aan Nobelium, de hackersgroep die in het verleden al vaker dergelijke aanvallen zou hebben gelanceerd, met als grootste de SolarWinds-hack eind vorig jaar.

Microsoft heeft naar eigen zeggen gezien dat 609 klanten van die bedrijven tussen 1 juli en 17 oktober 22.868 keer zijn aangevallen door Nobelium. Het slagingspercentage daarvan zou zich 'ergens laag in de enkele cijfers' bevinden. Het aantal Nobellium-aanvallen is in deze periode groter dan Microsoft in de afgelopen drie jaar zag. Volgens Microsoft zijn de aanvallen een indicator dat Rusland 'op lange termijn systematisch toegang probeert te krijgen tot een groot aantal punten in de technologische supplychain.' Zo probeert de groep een mechanisme te creëren om voor de Russische overheid interessante doelwitten te bespioneren, zegt het techbedrijf.

De hackers zouden volgens Microsoft niet gebruikmaken van een zwakke plek in de software, maar van simpelere methoden als password spraying en phishing. Zo zouden ze inloggegevens kunnen stelen. De aanvallen kunnen volgens Microsoft alleen voorkomen worden door nauwe samenwerking van overheden in de VS en Europa om strengere cybersecuritystandaarden te maken, waardoor bedrijven minder makkelijk te hacken moeten zijn.

De hackersgroep Nobelium zou in 2020 het softwarebedrijf SolarWinds hebben gehackt. Via de supplychain zou het klanten hebben getroffen met spionagemalware. Volgens de Amerikaanse regering zou de hack minstens honderd bedrijven hebben getroffen, en negen overheden. Eerder dit jaar werd softwarebedrijf Kaseya ook slachtoffer van soortgelijke aanvallen. Die hack werd echter opgeëist door REvil, en niet door Nobelium. Eind mei meldde Microsoft ook al meerdere cyberaanvallen van Nobelium in een korte periode te hebben waargenomen. Toen ging het om meer dan 150 bedrijven.

Reacties (35)

MazDaMan1970 25 oktober 2021 12:40

Zo zie je maar weer dat het niet alleen een kwestie is van goed jouw systemen patchen, etc., maar dat het ook belangrijk is om de gebruikers goed op te voeden, zodat ze niet achteloos Phising-mails openen.

batteries4ever @MazDaMan1970 • 25 oktober 2021 12:58

Leuk gezegd en veel van dat soort emails vallen door de mand omdat ze simpelweg fauten bevatten of veel te generiek zijn: "Rekening". Maar als iemand zijn huiswerk gedaan heeft en specifiek op mij toegesneden relevant-uitziende email stuurt, eventueel van bekend email adres, met aanhang, dan denk ik dat ik er ook voor zou vallen. Kun je wel zeggen "aanhangen mag je nooit openen" o.i.d. maar dan valt het nut van email ook zowat weg.

Cerberus_tm

@batteries4ever • 25 oktober 2021 17:00

Als je een wachtwoordbeheerder gebruikt, zoals Lastpass, dan merk je bij phishing toch dat je op de verkeerde site zit? En je ziet bij het icoontje van Lastpaas geen getalletje voor bestaande accounts, en je wachtwoord wordt niet automatisch ingevuld. Of zie ik iets over het hoofd?

Wraldpyk @Cerberus_tm • 25 oktober 2021 17:17

Wachtwoorden en domeinen zijn maar een klein deel van Phising, soms wordt er gevraagd even een rekening te betalen, of een cadeautje te kopen voor een "relatie", noem maar op.

Ik heb ook al eens een email gehad van mijn baas die me vroeg "wat was het wachtwoord voor xxx ook alweer?", en heb ook al eens een open vraag gehad "Ben je op kantoor vandaag? Ik moet even iets hebben maar ik ben er vandaag niet." met de hoop dat ik een document kon inscannen, of een cc/wachtwoord kon overhandigen waarschijnlijk.

Het was duidelijk phising, maar makkelijk om er in te trappen gezien hoe "casual" de emails zijn.

Cerberus_tm

@Wraldpyk • 25 oktober 2021 18:45

O, nice, dat soort dingen krijg ik niet. Elke keer voordat ik iets gevoeligs verzend via e-mail denk ik ook altijd extra goed na.

MrFax @Wraldpyk • 11 november 2021 17:46

Onze emailsysteem is zo ingesteld dat als je dingen als "Intern" stuurt dat alleen interne e-mailadressen deze emails kunnen lezen.

Dan vallen veruit de meeste phishing mails al buiten de boot. Encryptie is zo belangrijk om phishing tegen te gaan.

Maar dan zou alsnog met doelgerichte phishing kunnen zeggen bijv. "Zet deze email op openbaar omdat ik niet hij m'n interne mail kan". Maar het maakt het allemaal een stuk lastiger voor de phisher.

[Reactie gewijzigd door MrFax op 27 juli 2024 08:20]

MazDaMan1970 @batteries4ever • 25 oktober 2021 13:14

Dat is precies wat ik bedoel, ook al lijkt de mail van een collega te komen, dan nog moet je het verifiëren. Op deze wijze zijn al veel mensen in "CEO-fraude" getrapt & op deze wijze kunnen dan ook gemakkelijk phishing-mails malware verspreiden. En ik weet het, het is niet altijd werkbaar om alles te moeten verifiëren & het is dan ook een kwestie van een goede balans zien te vinden tussen werkbaar & veilig (van toepassing op alles wat met security te maken heeft).

killerdemon @batteries4ever • 26 oktober 2021 13:52

Als ik 'aanhang' zie staan in een mail dan gaan er al bellen rinkelen.

Orangelights23 @MazDaMan1970 • 25 oktober 2021 12:51

Er zijn veel discussies gaande of phishingmails slagen doordat medewerkers onvoldoende bewust zijn van de gevaren, of dat de infrastructuur van een organisatie onvoldoende veilig is ingesteld waardoor deze mails überhaupt door de vele filters heen komen.

Ik werk in de cybersecurity en traditioneel gezien sturen we periodiek phishingmails naar medewerkers, met aanvullende training. Echter zijn we sinds kort begonnen met een onderzoek om te bekijken waardoor deze mails binnenkomen. Daar is ook heel veel winst te behalen.

Bor Coördinator Frontpage Admins / FP Powermod @Orangelights23 • 25 oktober 2021 13:14

Volgens mij is de discussie die je aangeeft helemaal geen breed lopend onderwerp van gesprek.
Als je in de cybersecurity werkt ken je het principe van multi layer defense. Het gaat dus niet om "onvoldoende bewustzijn" of " onvoldoende technische beveiliging". Dit hele idee druist in tegen diverse principes binnen de informatiebeveiliging. Ook al werken beide optimaal dan nog zal er een restrisico zijn en zal er af en toe een mail door glippen. 100% veiligheid bestaat helaas niet.

Echter zijn we sinds kort begonnen met een onderzoek om te bekijken waardoor deze mails binnenkomen.

Deed je dit dan eerder niet? Ik neem niet aan dat je alleen vaart op de awareness van gebruikers maar ook op andere vlakken controls toepast,evalueert en waar nodig aanpast (PDCA)?

[Reactie gewijzigd door Bor op 27 juli 2024 08:20]

Orangelights23 @Bor • 25 oktober 2021 13:49

Er zijn juist veel discussies gaande, door corona en het thuiswerken zit je dat de normmakers en andere autoriteiten binnen dit vakgebied juist kijken naar phishing en de oorzaken hiervan, omdat phishingmails een hot topic zijn geweest afgelopen 1,5 jaar (ik zit in een comité met een paar andere bestuurders van SANS en NIST bijvoorbeeld, ook zij kaarten dit aan).

Ik heb niet aangegeven dat er 100% veiligheid is, waar ik het wel over had is of organisaties naar de juiste oorzaken kijken. Als je voornamelijk richt op awareness trainingen, terwijl het probleem elders ligt, is het dweilen met de kraan open. Hierdoor zijn de grotere organisaties afgelopen periode hun eigen infra volledig aan het analyseren. Door NDA's kan ik uiteraard niet te veel vertellen, ik werk als consultant in Scandinavië voor een aantal internationale bedrijven, maar heel veel phishingmails kunnen al simpelweg tegengehouden worden als er een goede threat intel procedure is, waarbij geacteerd wordt door het implementeren van technische beheersmaatregelen op basis van ioc's.

Uiteraard is multi layered defense belangrijk hierin, maar het gaat in deze discussie juist om de diepte die de verschillende layers hebben gekregen en horen te krijgen. Een tipje van de sluier, binnenkort komt er een nieuwe ISO-norm binnen de 27xxx series die specifiek over awareness gaat, waarbij juist de focus gelegd wordt op technische beheersmaatregelen i.p.v. 'alleen maar ouderwets phishingcampagnes uitvoeren'

Bor Coördinator Frontpage Admins / FP Powermod @Orangelights23 • 25 oktober 2021 14:27

Phishing is natuurlijk geen probleem van alleen de laatste 1,5 jaar maar al veel langer een probleem en daarmee onderwerp van gesprek maar om nu te stellen dat er een brede discussie gaande is is wel iets van een andere orde. Wellicht speelt deze discussie zich meer binnen bepaalde expertise gebieden af? Wat je verder beschrijft is standaard practice vanuit een risico gedreven aanpak en onderdeel van de PDCA cyclus.

maar heel veel phishingmails kunnen al simpelweg tegengehouden worden als er een goede threat intel procedure is, waarbij geacteerd wordt door het implementeren van technische beheersmaatregelen op basis van ioc's.

Hoe zie je dit? Is er bij het ontvangen van een phishing mail al sprake van een compromise in jouw ogen gezien je het over IOCs hebt? Of doel je op bepaalde kenmerken van bv een phishing mail na een succesvolle compromise bij een andere organisatie?

...die specifiek over awareness gaat, waarbij juist de focus gelegd wordt op technische beheersmaatregelen

Wat is volgens jou een awareness gerelateerde technische beheersmaatregel?

[Reactie gewijzigd door Bor op 27 juli 2024 08:20]

leuk_he @MazDaMan1970 • 25 oktober 2021 13:49

En dus, en dat komt wellicht vreemd over, niet nodeloos security software toevoegen.
E zijn dus bepaalde software pakketten aangevallen. De conclusie is simpel: hoe minder pakketten, hoeveel minder aanvalsvlakken.

Dus geen Symantic + Kaspersky + Panda draaien, maar er 1 kiezen, en alle andere pakketten uitfaseren. Evenzo met de toegang voor je netwerk, niet paketten mixen en matchen, maar 1 duidelijke keus maken. Is minder werk, maar de pakketten zelf zijn dus ook een aanvalspunt.

Dit lijkt voor de hand te liggen, maar organisaties zijn veranderd, gefuseerd, van leverancier veranderd, en soms is daardoor een wirwar van pakketten in gebruik genomen waarvan niemand weet wat je hebt.

Seth_Chaos @MazDaMan1970 • 25 oktober 2021 13:51

Ook die kun je er uit filteren. Alles voorzie je van MFA. En je werkt op basis van least privelidge.

Arvado @MazDaMan1970 • 25 oktober 2021 19:40

Nog belangrijker: goede backups.

mutley69 @Arvado • 25 oktober 2021 21:01

Nog belangrijker: goede OFFLINE OFFSITE backups.

Arvado @mutley69 • 26 oktober 2021 00:08

Dat zijn toch goede backups?

Daarnaast heb je ze ook gewoon online en on-site nodig. Voor Ransomeware heeft een off-side backup weinig effect.

PFY 25 oktober 2021 13:11

Snap niet dat ze netwerken waar vandaan de aanvallen en of C2C servers zich bevinden niet van het internet af gooien. De data is er al, zie link hieronder. Ten tweede, denk ik dat als je als bedrijf bijvoorbeeld geen zaken doet met Irak, Rusland Oekraine, etc dat je je in ieder geval via country of geo ip blocking zou kunnen indekken. Steeds meer producten hebben dit in zich, of het nou Wordpress plugins zijn, of mail pakketten (Mdaemon), of Sophos gateways, zelfs scripted firewall country blocks voor windows. (Zie links hieronder)

De kans dat je dan gehacked wordt is er nog wel, maar een significant stuk kleiner.

https://www.wired.com/story/russia-hacker-groups-map/
https://www.gregsitservic...es-with-windows-firewall/
https://answers.microsoft...20to%20get%20email%20from.
https://support.sophos.co...-000034791?language=en_US
https://www.altn.com/Supp...om%20location%20screening.
https://nl.wordpress.org/...ies%20you%20can%20do%20so.

[Reactie gewijzigd door PFY op 27 juli 2024 08:20]

Simon Weel @PFY • 25 oktober 2021 13:34

Snap niet dat ze netwerken waar vandaan de aanvallen en of C2C servers zich bevinden niet van het internet af gooien.

Ik vrees politiek? Zolang Russische hackers het op buitenlandse bedrijven hebben gemunt, dan vind Putin het prima. Ik vermoed dat het omgekeerde ook het geval is; hackers uit het westen die het op Rusland hebben voorzien, zullen volgens mij ook niet zo snel uit de lucht gehaald worden. Denk eerder dat geheime diensten meeliften op gepleegde hacks...

Zolang dit probleem niet structureel wereldwijd wordt aangepakt, vrees ik dat we steeds meer naar een zero-trust maatschappij groeien. Geen prettig vooruitzicht....

PFY @Simon Weel • 25 oktober 2021 14:06

Digitaal, sociaal, politiek, geen vertrouwen meer, wat een wereld.

PCRaceMASTER 25 oktober 2021 12:42

Gebruikers zullen altijd de zwakke punt blijven, als ik zie wat voor vragen er soms langskomen op mijn IT Afdeling betreft phishing.. en maar voor de zoveelste keer een Security training laten volgen..

Bongoarnhem @PCRaceMASTER • 25 oktober 2021 12:50

Misschien moeten de systemen ook wat gebruiksvriendelijker worden ingericht. Software platformen denken altijd maar dat een gebruiker it kennis heeft. Vragen over rechten en toegang tot zegt 95% van de gebruikers niks.

Niet alleen zouden systemen gebruiksvriendelijker moeten worden, it zou een basisvaardigheid moeten worden voor alle werknemers.

n00bs @Bongoarnhem • 25 oktober 2021 13:02

Dit dus, ik merk het vaak ook bij collega's die veel "schuld" bij de klant/eindgebruiker legt. Echter vind ik dat zelf een autistische gedachte: waarom ga je ervan uit dat alle mensen tegenwoordig kennis hebben van alle IT gerelateerde zaken/woorden. Systemen zijn vaak onlogisch (ingericht), totaal niet gebruiksvriendelijk. Meerdere systemen in een bedrijf met overlap van functionaliteit en werking.

Overigens vind ik wel dat je van jouw IT collega's mag verwachten dat zij normaliter niet in vele vormen van Phishing e.d. trappen. IT kennis bij sommige IT collega's is ook echt beneden peil. Dat soort mensen kan je beter een functie elders geven ;-)

the_shadow @n00bs • 25 oktober 2021 16:03

waarom ga je ervan uit dat alle mensen tegenwoordig kennis hebben van alle IT gerelateerde zaken/woorden.

Dieptekennis mag je uiteraard niet verwachten, maar een zekere basis is tegenwoordig absoluut noodzakelijk. Digi-vaardigheid is in mijn ogen tegenwoordig niet meer optioneel in veel werkvelden. Als je op dag dagelijkse basis met een computer werkt, dan zou "ik ben niet zo goed met computers" tegenwoordig geen argument meer mogen zijn: het is onderdeel van je werk. Natuurlijk, verwachten van een gebruiker hoe de TCP/IP stack in elkaar zit, hoe je programmeert, of hoe je een Kubernetes omgeving beheert slaat nergens op, maar hoe er veilig met mail gewerkt kan worden, dat je niet op willekeurige URLs klikt, dat je niet alle bestanden download/opent die in je mail zit is gewoon een must. Ook is het in steeds groeiende mate belangrijk om te weten hoe er data-gedreven gewerkt kan/moet worden, wat data uberhaupt is, en hoe je er informatie uit haalt.

[Reactie gewijzigd door the_shadow op 27 juli 2024 08:20]

Cerberus_tm

@the_shadow • 25 oktober 2021 17:02

Helaas zijn bijna alle bazen ook digibeet. Dus deze dingen zijn lastig in te voeren als algemene norm.

smolders2007 25 oktober 2021 13:03

Het helpt ook niet als de EU top ambtenaren de Russen constant dreigen dat cyberaanvallen en kernwapens worden gebruikt tegen hun door de NATO bondgenoten. Verleden week nog door Stoltenberg en de Duitse Minister van Defensie.

Als ik naar de laatste 25 jaar kijk van de NATO acties dan wordt het toch langzaam wel duidelijk dat de beneming van Defensie beter kan veranderen naar Oorlog.

Tyrian 26 oktober 2021 01:47

Frodo: "What are they?"

Strider: "They were once Men. Intelligent and dedicated Men. Coders, security specialists."

Strider: "Then the Russian State gave to them the mandate and resources to exploit. Blinded by their greed, they picked it up without ethics. One by one falling into darkness."

Strider: "Now they are tools of the State. They are the Nobelium, Black Hat Hackers, neither living nor dead. At all times they feel the presence of your software vulnerabilities. Drawn to the power of control. They will never stop hunting you."

bzuidgeest

Politiek en recht

25 oktober 2021 15:03

Microsoft: hackersgroep achter SolarWinds is nog steeds actief

Beetje rotte titel is het niet. Alsof solarwinds een hackersgroep herbergt. De groep die solarwinds hackte is nog steeds actief. Het artikel zegt het beter, maar mensen zien als eerste de titel.

batteries4ever @flaskk • 25 oktober 2021 13:04

Heb ik zelf ook wel eens gedacht, maar gaat waarschijnlijk niet lukken: dan zou je alle verkeer met Rusland moeten stoppen of op zijn minst taggen. B.v. de 3 miljoen (!) Russen die in Duitsland wonen kunnen dan niet meer met de familie praten of een vlucht naar Rusland boeken: ik zie Angela je al een draai om je oren geven met haar handtasje...
Omdat ook b.v. China daar beslist niet aan mee gaat werken, zou je dan ook China moeten stoppen... als je nog een grafische kaart wilt hebben of wat anders dat "made in China" is, dan gaat dat niet lukken!

Maar dromen mag...

deadmeatsubs

@batteries4ever • 25 oktober 2021 13:21

Ik ben geen specialist in deze maar als je de hack in zijn geheel probeert te begrijpen dan is het allemaal veel geavanceerder in zijn werk gegaan dan ‘een foute bijlage openen’.

https://whatis.techtarget...erything-you-need-to-know

Zo een hack is een internationaal ding waar meerdere roofdieren uit verschillende landen van smullen. (Mr. Robot (de serie) was een vergaand geromantiseerde versie van een specialistische bedrijfstak.) Opvallend is dat het klaarblijkelijk niet bekend is waar het de hackers precies om te doen was en dat zo een hack na ontdekking niet even opgelost wordt. Het is meer iets chronisch.

Iblies @flaskk • 25 oktober 2021 14:03

Misschien ook de VS apart in een hoekje zetten ??
https://www.bloomberg.com...-role-and-chinese-hackers

Tech company installed a flawed NSA algorithm that became ‘a perfect example of the danger of government backdoors.’

Het is niet de eerste, tweede of derde keer dat de VS overheid oorlogen is begonnen met leugentjes waarna ze er in vastzaten en zowat de halve wereld er in meenemen.

Windows is van oudsher gatenkaas en om een of andere reden kent dat compleet geen prioriteit totdat het weet mis gaat en wordt gepatched.
Ondertussen kan Windows anno 2021 wel veel meer persoonlijke data te vergaren? Daar wordt dan wel extreem veel tijd en energie in gestoken.

Ramoncito @flaskk • 25 oktober 2021 15:58

Is het niet gewoon keer tijd om Rusland van het web te halen? (moeten we eerst onze eigen energie voorziening ff fixen) en wanneer Poetin echt die gasten gaat aanpakken mogen ze er weer bij op ?

Alle Russen van het web weren omdat hun leider een koers vaart die in het belang is van Rusland? Ik kan me nog wel wat andere landen/leiders daar bij voorstellen. En een heel land afsluiten van het internet omdat er onder die 146.000.000 mensen een aantal criminelen zit lijkt me ook wel wat ver gaan

batteries4ever @Ramoncito • 25 oktober 2021 16:34

Nou ja, als het in ons belang is de betreffende leider een beetje te corrigeren, doordat hij merkt dat het niet in Ruslands' interesse is van het Internet afgesloten te worden - zou ik met de morele vraag minder problemen hebben. Maar zoals gezegd, ik denk dat het simpelweg niet praktisch uitvoerbaar is.

Op dit item kan niet meer gereageerd worden.

Microsoft: hackersgroep achter SolarWinds is nog steeds actief

Lees meer

Reacties (35)

Sorteer op:

Weergave: