'SolarWinds-hack was ruim half jaar eerder bekend bij Amerikaans ministerie'

De hackers achter de aanval op ict-provider SolarWinds waren al ruim een half jaar gespot voordat de hack openbaar werd. Al in mei van 2020 ontdekte het Amerikaanse ministerie van Justitie een inbraak op zijn servers, maar het was lang niet duidelijk hoe groot de omvang daarvan was.

Wired schrijft op basis van bronnen dat de aanval op SolarWinds al eind mei van 2020 werd opgemerkt bij het Amerikaanse ministerie. Die aanval werd pas in december van dat jaar publiek en zorgde voor veel ophef bij securityprofessionals. Eind 2020 werd bekend dat aanvallers een hack hadden uitgevoerd op SolarWinds, specifiek op netwerkmonitorsoftware Orion. Aanvallers wisten een geïnfecteerde versie van Orion naar SolarWinds-klanten te verspreiden waarmee aanvallers verregaande rechten hadden op hun computernetwerken. Het Amerikaanse ministerie van Justitie was een van die klanten. De hackers konden maanden in de netwerken rondneuzen voordat zij ontdekt werden.

Het Amerikaanse ministerie draaide in mei 2020 een testversie van Orion. Systeembeheerders zagen toen dat die testversie een verbinding legde met een onbekende server. Het ministerie schakelde toen securitybedrijf Mandiant in, dat verder onderzoek deed. Ook zou het ministerie Microsoft hebben ingeschakeld, maar de bronnen van Wired weten niet waarom dat het geval is. Microsoft bleek later ook slachtoffer te zijn van de aanval; de aanvallers zouden toegang tot broncode hebben gehad.

Mandiant en het ministerie legden contact met SolarWinds na de ontdekking en vroegen om hulp, omdat ze vermoeden dat er een kwetsbaarheid in Orion zou zitten. SolarWinds zei na een onderzoek dat het bedrijf zo'n kwetsbaarheid niet kon vinden. Daarna stopten de gesprekken tussen het ministerie en SolarWinds. In juli, meer dan een maand na de ontdekking, schafte het ministerie de definitieve versie van Orion aan. Het ministerie zou volgens bronnen hebben gezegd dat het overtuigd was dat Orion geen gevaar meer opleverde.

Het ministerie van Justitie zou het Amerikaanse Cybersecurity and Infrastructure Agency wel hebben ingelicht, maar geen andere instanties. Maar toen het nieuws over SolarWinds in december 2020 aan het licht kwam, maakten beide partijen niets openbaar over de infectie op het ministerie.

NCSC-waarschuwing SolarWinds

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-05-2023 07:39 22

01-05-2023 • 07:39

22

Lees meer

SolarWinds repareert bug waarbij hardcoded credentials in broncode stonden
SolarWinds repareert bug waarbij hardcoded credentials in broncode stonden Nieuws van 23 augustus 2024
Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging
Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging Nieuws van 14 juni 2024
OpenAI: Chinese, Russische staatshackers misbruikten ChatGPT voor cyberaanvallen
OpenAI: Chinese, Russische staatshackers misbruikten ChatGPT voor cyberaanvallen Nieuws van 14 februari 2024
Microsoft: Russische staatshackers hadden toegang tot e-mailaccounts managers
Microsoft: Russische staatshackers hadden toegang tot e-mailaccounts managers Nieuws van 20 januari 2024
OM eist 32 maanden cel tegen hacker en afperser die via Snapchat werkte
OM eist 32 maanden cel tegen hacker en afperser die via Snapchat werkte Nieuws van 15 juni 2023
'Hackers hebben private keys en Intel BootGuard Keys gestolen bij aanval op MSI'
'Hackers hebben private keys en Intel BootGuard Keys gestolen bij aanval op MSI' Nieuws van 7 mei 2023
Microsoft: hackersgroep achter SolarWinds is nog steeds actief
Microsoft: hackersgroep achter SolarWinds is nog steeds actief Nieuws van 25 oktober 2021
SolarWinds brengt patch uit voor actief aangevallen lek in Serv-U-software
SolarWinds brengt patch uit voor actief aangevallen lek in Serv-U-software Nieuws van 13 juli 2021
Microsoft meldt opnieuw cyberaanvallen door Russische SolarWinds-hackers
Microsoft meldt opnieuw cyberaanvallen door Russische SolarWinds-hackers Nieuws van 28 mei 2021
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd Nieuws van 10 mei 2021
Criminelen stalen inloggegevens van ontwikkelaars via devtool Bash Uploader
Criminelen stalen inloggegevens van ontwikkelaars via devtool Bash Uploader Nieuws van 19 april 2021
VS legt sancties op aan Rusland wegens cyberaanvallen SolarWinds
VS legt sancties op aan Rusland wegens cyberaanvallen SolarWinds Nieuws van 16 april 2021
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack?
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Nieuws van 17 december 2020
Meer producten en artikelen
Beveiliging en antivirus SolarWinds

Reacties (22)

-Moderatie-faq
22
21
11
0
0
6
Wijzig sortering
Bongoarnhem 1 mei 2023 08:26
Hier ligt de fout toch bij Solarwinds?

Die geven aan niks raars te kunnen vinden, dan kan ik me voorstellen dat je dat aanneemt.

Het is hen imho kwalijk te nemen dat dit er, ondanks een waarschuwing, doorheen is geglipt met alle gevolgen van dien.
Gwaihir @Bongoarnhem1 mei 2023 08:36
Hmm.. ook bij de andere betrokkenen: ondanks dat ze een test deden, in vermoedelijk een 'sandbox' omgeving, waren ze er kennelijk niet zeker van de Solarwinds de oorzaak was (en / of de onverklaarde verbinding gevaarlijk) en hebben ze het er maar bij laten zitten.

Als je dat dan toch allemaal aan het doen bent, dan kun je toch ook met een tweede sandbox vergelijken waarin alléén Solarwinds ontbreekt? En vervolgens wél eisen dat Solarwinds het verklaart (of van koop afzien).

Als je doorgeeft: "We vragen ons af of jullie software dat doet en wat het is", dan krijg je een minder grondig onderzoek dan wanneer je zegt: "Hier is het sluitend bewijs dat jullie software dit doet. Graag jullie verklaring (anders gaat de koop sowieso niet door)."
Cergorach
@Gwaihir1 mei 2023 09:42
Dat het fout ging bij Solarwinds, absoluut! Maar dat Amerikaanse ministerie en Mandiant hebben ook wel wat zaken verkeerd gedaan door het zo laks te behandelen.

Mandiant is trouwens een Google dochteronderneming.
Rolfie @Cergorach1 mei 2023 15:02
Achteraf......

Maar als je niets kunt vinden en het probeer doet zich niet nog een keer voor, dan is het troubleshooten of analyseren soms heel erg lastig.
Cergorach
@Rolfie1 mei 2023 15:31
Niet alleen achteraf! Als je zoiets tegenkomt op een laptopje zonder spannende zaken, maybe. Maar als je dit tegenkomt met een test voor netwerkdetectie, welke zowel op servers als user endpoints enorm veel rechten krijgt, dan moeten er gewoon alarmbellen afgaan! Helemaal als de leverancier niets kan vinden.

Als het daarna niet nog een keer voorkomt zouden er vraagtekens moeten zijn en zeker een externe beveiligingstoko zou dan serieus moeten gaan kijken of aanvallers toevallig niet iets hebben uitgezet. Maar ik verwacht niet dat dit het geval is. Zo een geïnfecteerde installatie, zal toch eerst eens naar buiten moeten bellen voordat een command & control server zegt: "Voorlopig niet doen!" omdat ze door hebben dat er onderzoek naar wordt gedaan.

En al helemaal het mondje houden als het daadwerkelijk naar buiten komt dat er wat aan de hand is bij Solarwinds is natuurlijk zaken onder het tapijt vegen.
FONfanatic @Bongoarnhem1 mei 2023 08:53
Gevalletje geen onrust zaaien uit bedrijfsbelang. Want wat Solarwinds echt grondig had moeten onderzoeken is of die onbekende server toebehoorde aan een van hun afnemers. Maar dat inlichtingenverzoek had uitgelekt en vooral dat moest om imagoverlies te voorkomen, vermeden worden.

Terecht daarom dat onze overheid een boete oplegt ingaande vanaf het moment dat een lek optrad.

Voor degenen die net als ik lekken opspoort: bewaar je gegevens, want een tijdstempel is cruciaal om te bewijzen dat het lek er zat. Al een paar maal meegemaakt dat men het lek oploste zonder dat men ermee naar buiten trad, terwijl er wel gegevens gestolen waren van klanten en leveranciers. Maar ja, wetshandhaving scoort in de politieke pers niet zo, behalve achteraf dan, als de schade al is aangericht.
Vogel666 @Bongoarnhem1 mei 2023 11:38
En toch is dit een aparte: de broncode bevatte geen kwalijke code.
De hackers hebben hun eigen binaries op de download/update repository weten te plaatsen.
Dan kun je heel lang naar je eigen broncode staren...en toch niets vinden.

Meestal gaan dit soort dingen mis door slechte communicatie:
Het was waarschijnlijk direct gevonden als de melding was geweest: "Ik gebruik deze binary en zie verkeer naar/van dit adres, terwijl dat niet zou moeten"
Maar vage melding over versies en zie "dingen" die ik niet verwacht....dat laat veel te veel ruimte.

Een hack kan altijd gebeuren. Als je er maar genoeg tijd en energie in steekt dan kom je overal binnen. Het gaat in principe om de detectie en de response.
In dit geval was de detectie dus vroeg en de uiteindelijke reponse was ook OK.
De issue is dat de initiele detectie niet op de juiste plek door de juiste mensen werd beoordeeld (nl codekloppers die naar broncode gingen kijken ipv systeembeheerders die naar binaries en traffic gingen kijken).
In de opvolging van het probleem had natuurlijk een SW-engineer naar de implementatie moeten kijken en niet alleen een lab-situatie gecreerd moeten worden.
d3burt @Vogel6661 mei 2023 22:56
Wat je zegt is helemaal correct, maar in de praktijk valt dit enorm tegen.

Het spotten van infecties in binaries is niet makkelijk als de dader toegang heeft tot je bouwstraat, en het lijkt er op dat dat het geval was. Daardoor is de source code nog geheel correct, en zijn de binaries correct gesigned, en een engineer die de taak krijgt afwijkend gedrag te onderzoeken ziet in de source code dat het niet mogelijk is een bepaalde soort netwerk verkeer te genereren. Als dan ook nog eens de kans bestaat dat het gedrag bij de klant veroorzaakt zou kunnen worden door een trojan die zich in een draaiende binary nestelt, is de kans aanwezig dat het onderzoek zich op de verkeerde zaken richt.

Zodra je eenmaal weet dat de bouwstraat gepakt is wordt het spoorzoeken een stuk makkelijker.

Ik heb meer dan eens gezocht in geïnfecteerde Windows systemen naar waar een backdoor precies zat, en het dynamisch patchen van draaiende binaries is een veel voorkomende situatie (en het vinden van alle manieren waarop de boefjes terug kunnen komen als je hun primaire toegang afsluit is ook een verhaal apart). En zodra je weet dat je ontdekt bent kan je een heel zichtbare backdoor plaatsen zodat het incident response team wat op te ruimen heeft en nooit weet wanneer ze de laatste hebben gehad.
Vogel666 @d3burt2 mei 2023 12:12
Ja, eenmaal geinfecteerd dan is het devies altijd: herbouwen, niet herstellen..

En ook daar ging dit natuurlijk mis bij de klanten. Je kon herbouwen wat je wil, maar als de software die je installeert de hacker toegang geeft....
beerse @Bongoarnhem1 mei 2023 12:22
Mandiant en het ministerie legden contact met SolarWinds na de ontdekking en vroegen om hulp, omdat ze vermoeden dat er een kwetsbaarheid in Orion zou zitten. SolarWinds zei na een onderzoek dat het bedrijf zo'n kwetsbaarheid niet kon vinden. Daarna stopten de gesprekken tussen het ministerie en SolarWinds.
Hier maak ik uit op dat deze klant in haar software iets vreemds ziet. En dat de leverancier in zijn eigen software niets aantreft. Hier is volgens mij een check gemist of de klant wel de zelfde software gebruikt als dat de leverancier levert. Iets met md5, SHA256sum, checksums of zo iets wat je op bepaalde software wel vaker ziet. Geeft de leveranciers dergelijke codes? Heeft deze klant de codes nagezien?
umbrella1982 1 mei 2023 08:16
LOL, En instanties vinden het gek dat mensen minder en minder vetrouwen hebben in instanties/regering als je zo omgaat met probleem :P

[Reactie gewijzigd door umbrella1982 op 22 juli 2024 15:28]

thetakman @umbrella19821 mei 2023 08:33
Hoezo? Ik snap je reactie niet zo goed.

Als je het artikel had gelezen staat er duidelijk het volgende:

Mandiant en het ministerie legden contact met SolarWinds na de ontdekking en vroegen om hulp, omdat ze vermoeden dat er een kwetsbaarheid in Orion zou zitten. SolarWinds zei na een onderzoek dat het bedrijf zo'n kwetsbaarheid niet kon vinden. Daarna stopten de gesprekken tussen het ministerie en SolarWinds.

Oftewel de regering kreeg bericht van SolarWinds dat het niet aan hun lag, waarom zou de regering dan vervolgens alsnog aan iedereen bekend maken dat SolarWinds een lek heeft? Tenslotte lag het niet aan hen (volgens SolarWinds) en konden ze enkel een onbekende server verbinding in de test versie zien.

Niet handig om er daarna live mee te gaan, dat is een ander verhaal. Maar ook niet genoeg bewijs om publiekelijk iets te roepen.

Hadden ze het wel gedaan, dan had je een nieuws bericht gehad met de titel. Ministerie ziet onbekende server verbinding in testversie.

Dan hadden er vervoglens 500+ tweakers hier staan roepen, ja maar het zal wel een aparte server van Orion zijn die iemand is vergeten etc.etc
Cergorach
@thetakman1 mei 2023 09:48
Oftewel de regering kreeg bericht van SolarWinds dat het niet aan hun lag, waarom zou de regering dan vervolgens alsnog aan iedereen bekend maken dat SolarWinds een lek heeft? Tenslotte lag het niet aan hen (volgens SolarWinds) en konden ze enkel een onbekende server verbinding in de test versie zien.
Als we heel letterlijk zijn... Het lag ook niet aan Solarwinds, het was geen server van Solarwinds en het zou daarmee geen verbinding mee moeten maken. De kans is groot dat Solarwinds intern heeft getest met een niet geïnfecteerde versie.

Echter zien dat Amerikaanse ministerie en Mandiant dat er contact wordt gelegd met een onbekende server die NIET van Solarwinds is. Zoals @Gwaihir al aangeeft, ze hadden 100% kunnen achterhalen dat dit toch van Solarwinds software vandaan komt. De software dan toch kopen is iets waar een alarm bellen van af moeten gaan. Dit is dan absoluut ook geen goede reclame voor Mandiant ...
jpsch 1 mei 2023 10:30
Je zou toch verwachten dat ze door blijven zoeken. Iets zorgt voor die verbinding.
oef! @LurkZ1 mei 2023 08:39
Waarom toch altijd alles politiek maken? Als er al een politiek schuldige is, dan moet die persoon de consequenties dragen. Ongeacht zijn/haar partij.
MrMonkE @oef!1 mei 2023 09:31
<OT>
Ja, het toverwoord is 'consequenties'.
Zolang er geen consequenties zijn te dragen doen die politici waar ze zin in hebben.
Soms zijn er nep consequenties en komen dezelfde komedianten weer opdraven in een gelijksoortige functie.

Helaas zijn het voornamelijk de politici die, gewapend met ons mandaat, moeten beslissen of er consequenties kunnen zijn voor iets. Wij kunnen 1x in de 4 jaar sturen.

Het is net zoiets als bijvoorbeeld in de VS waar sommige mensen een maximaal aantal termijnen willen stellen voor bepaalde politieke posities die dat nog niet hebben. Onbeperkte termijnen is voor die politici de gans die de gouden eieren legt. Die gans koesteren ze meer dan alles.
Cergorach
@MrMonkE1 mei 2023 11:42
Kijk niet alleen naar de VS voor politieke posities met lange termijnen. Rutte zit er nu al bijna 13 jaar, Blakenende voor hem ruim 8 jaar. Bij de buren heeft Merkel ook ruim 16 jaar op haar positie gezeten...

Maar een politieke aanstelling mag dan eind verantwoordelijke zijn voor zijn deeltje bureaucratie, maar in de praktijk zijn dat organisaties die veel ouder zijn dan de politieke aanstelling. En daadwerkelijk langdurige verandering brengen in zo een overheidsbureaucratie is extreem lastig, zeker ook omdat je mensen zo lastig eruit kan werken. Wat aan de ene kant belangrijk is in een politieke organisatie, aan de andere kant extreem lastig is voor de efficiëntie van zo een organisatie. Het is niet voor niets dat er zoveel IT project problemen zijn in Nederland binnen de overheid, verwachten dat dit veel beter is in bv. de VS is niet reëel.
Cergorach
@LurkZ1 mei 2023 09:55
Vergeet niet dat beslissingen van dit niveau niet worden gemaakt door een politieke aanstelling, want elke vier jaar (of minder) je hele bureaucratie vervangen door geheel republikeinen of democraten is onmogelijk! Dit is en beslissing vanuit de bureaucratie, wie die beslissing heeft gemaakt kan een republikein, democraat of anarchist zijn geweest. En ja, de uiteindelijke eindverantwoordelijke (William Barr) was natuurlijk op dat moment een republikein aangesteld door Trump, maar voor dit issue verwacht ik dat dit 0,0 impact heeft gehad.
DrPoncho @LurkZ1 mei 2023 08:30
Gelukkig doen Republikeinen alles goed en valt er niets aan te merken aan hun ongeschonden blazoen. Balen!
Vogel666 @LurkZ1 mei 2023 11:52
Het lijkt mij niet dat alle ambtenaren vervangen worden als er een wissel van de macht komt.
Ambtenaren zitten op posities ongeacht hun politieke kleur en ongeacht wie er aan de macht is.
Als een ambtenaar een fout maakt heeft dat dus ook niets te maken met wie er aan de macht is, tenzij de ambtenaar bewust een fout maakt om een politiek doel te behalen.

Bijv het bonnentje van Teeven dat eindeloos niet boven tafel te halen was totdat Teeven zegt: "het is er blijkbaar nier" en dan binnen 24uur is het er wel....Dat is het bewust wippen van de minster en daarmee ondemijning van de rechtstaat . Iik kan me niet voorstellen dat die actie van die ambtenaren niet strafbaar was....

Maar goed ik wijdt uit...In dit geval heeft het dus niets met politiek te maken, maar met incompetentie.
Rolfie @LurkZ1 mei 2023 15:01
Wast heeft politiek hiermee te maken? Letterlijk NIETS. Tenzij je het politiek wilt maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq