SolarWinds-aanval besmet Cisco en VMware

Dit artikel delen:

Ten minste twee dozijn techbedrijven waaronder Cisco, VMware, Nvidia en Intel, hebben de besmette SolarWinds-update binnengekregen. Ook Deloitte liep een infectie op. Vanaf maart van dit jaar konden de vermoedelijk Russische staatshackers zich via een backdoor toegang verschaffen.

De vier genoemde technologie-giganten evenals Deloitte bevestigen de aanwezigheid van de gevreesde malware op een aantal van hun systemen. Vooralsnog zijn er geen indicaties dat schade is aangericht of (klant)gegevens in verkeerde handen zijn geraakt. Maar de interne onderzoeken verkeren nog in een pril stadium.  

De Wall Street Journal die de malware bij het kwartet bedrijven op het spoor kwam, houdt er rekening mee dat de aanvallers naar technische geheimen op zoek waren. Ook wordt gevreesd dat de hackers in de getroffen systemen stukjes software hebben verstopt die later gevaar kunnen opleveren. Omdat de aanval al maanden geleden begon, kunnen ‘sporen’ zijn uitgewist. Dit bemoeilijkt forensisch onderzoek. De angst bestaat dat de aanvallers zich jarenlang schuil kunnen houden in bedrijfsnetwerken en op een cruciaal moment toeslaan.

Backdoor

Zo'n 18.000 klanten van SolarWinds Orion zijn aangevallen. Ook een aantal Europese bedrijven en overheidsinstellingen heeft de geïnfecteerde SolarWinds Orion-update ingeladen. Deutsche Telekom en Siemens die ook in de Benelux dochters hebben, bevestigen deze software te gebruiken. Tot nog toe ontbreekt het echter aan aanwijzingen dat de hackers ook in hun netwerken actief waren. Verder is bekend dat ING Direct en een ziekenhuis in Nederland klant zijn van SolarWinds. Ook in België zijn er slachtoffers gevallen.

Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland een dubbele ‘code rood’ (high-high) afgegeven. Gecompromitteerde infrastructuren staan volledig onder controle van kwaadwillenden. Deze hackers zijn in staat om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens. Kortom, aanzienlijke schade is mogelijk. 

Het NCSC onderzoekt, samen met relevante organisaties, wat eventuele gevolgen kunnen zijn. Het advies is om de uitgebrachte updates van SolarWinds Orion zo spoedig mogelijk te installeren. Zijn Duitse tegenhanger BSI drukt getroffen bedrijven en overheden op het hart zich niet te beperken tot het installeren van veiligheidspatches. Het is niet voldoende om de ‘backdoor’ te verwijderen. Volgens de BSI moet men ook nagaan of de gevonden kwetsbaarheid is misbruikt en of verdere aanvallen in de it-systemen kunnen worden vastgesteld. Het gevaar is dat de aanvallers via it-dienstverleners in de systemen van klanten terecht kunnen komen.

Russen?

Overigens bestaat er ruim een week nadat de hack openbaar werd, nog altijd grote onduidelijkheid over de omvang van de aanval en de schade. Verschillende security-experts hebben de vrees uitgesproken dat veel meer bedrijven en overheden zijn besmet dan tot nog toe bekend is geworden. Het zou het topje van de ijsberg zijn. Ook is het gissen naar de nationaliteit van de hackers. Gelet op de complexiteit van de hack nemen de meeste Amerikaanse veiligheidsexperts aan dat alleen de Russische geheime dienst SVR en de hackersgroep Cozy Bear tot zo'n geavanceerde spionage-operatie in staat zijn.

Internationaal is inmiddels een grootscheepse samenwerking op gang gekomen om meer inzicht te krijgen in het probleem. Daaraan doen verschillende nationale cybersecurity-centra, security-bedrijven, software-industrie en getroffen organisaties mee. FireEye, het securitybedrijf dat zelf ook slachtoffer werd en de hack bij SolarWinds ontdekte, deelt regelmatig technische details. Microsoft heeft maatregelen genomen om te voorkomen dat de aanval zich verder kan uitbreiden. Vorige week donderdag ontdekte Microsoft, eveneens SolarWinds Orion-gebruiker, malware in haar netwerk. Tot nog toe is echter niet gebleken dat de aanvallers langs die weg weer bij klanten van Microsoft terecht zijn gekomen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-12-22T08:59:00.000Z Alfred Monterie