Wie is Solarwinds?
Solarwinds is een van de vele schijnbaar onschuldige netwerkbewakingssoftware. Met een omzet van net geen miljard dollar is dit geen kolos in de industrie zoals IBM of Microsoft. En toch was Solarwinds de katalysator voor een reeks netwerkinbreuken die in lange tijd niet meer zijn voorgekomen.
Wat is er gebeurd?
Verschillende afdelingen van de overheid werden gecompromitteerd, waaronder de ministeries van Financiën, Binnenlandse Veiligheid, Handel, Defensie, Energie, Deelstaten en Volksgezondheid. FireEye, een groot cyberbeveiligingsbedrijf, werd ook gecompromitteerd. In de particuliere sector werd ook ingebroken bij onder andere Cisco, Intel, VMware, Microsoft en Nvidia. In totaal, mogelijk duizenden organisaties zijn binnengedrongen door de malware. Het bleef niet beperkt tot de Verenigde Staten; Europa, Azië en het Midden-Oosten werden ook getroffen.
Wat betekent dit voor jou en mij?
Tenzij je in de cyberbeveiliging zit (en als dat zo is... dan hebben we onze deelneming), zijn de grootste zorgen: inmenging in de regering, diefstal van intellectueel eigendom en verstoring van de bedrijfsvoering. Concreet volgt hardwaregegevens op werknemersgegevens, die weer volgen op bedrijfsgegevens. Met toegang tot hardware kunnen kwaadwillenden dingen doen zoals bijvoorbeeld de energie-infrastructuur verstoren.
Maar misschien is de grootste les die we kunnen trekken dat zelfs een topbedrijf op het gebied van cyberbeveiliging is gekraakt. Ze winnen punten voor het detecteren van de inbraak toen niemand anders dat deed, maar als ze het niet konden voorkomen, welke kans hebben gemiddelde teams dan?
In dat opzicht denk ik dat het waardevol is om te kijken hoe het is gebeurd.
De acteurs maakten een Windows Installer Patch-bestand met een backdoored versie van een standaard SolarWinds update-bestand. Vervolgens plaatsten ze deze beschadigde updates op de SolarWinds site met een legitieme handtekening. Zodra SolarWinds de update naar hun Orion-software downloadde, zou de (normale) BusinessLayerHost.exe het getrojaniseerde DLL-bestand laden. Na een paar weken probeert de trojan een avsvmcloud[.]com subdomein om te zetten. De DNS antwoordt dan met een CNAME-record gericht op een Command and Control-server. In wezen gebruikten ze de hostnamen van geldige services. Het verkeer naar de schadelijke domeinen is vermomd als SolarWinds API-gegevens.
Van daaruit hadden ze toegang tot software die hen inherent toegang geeft tot netwerkcommunicatie van SolarWinds clients.
Waarom werden ze niet ontdekt?
Ze werden niet voor niets geclassificeerd als zeer bekwame hackers. Ze wachtten twee weken voordat ze aanvielen. Ze gebruikten routinematige onderhoudstaken om binnen te glippen. Nadat ze dieper waren binnengedrongen, voegden ze code met alleen geheugen toe aan normale processen om een deel van het systeem te vervangen, verkregen ongecompromitteerde referenties en vervingen vervolgens hun kwaadaardige deel door het normale deel.
Als er een techniek was om hun sporen uit te wissen, dan gebruikten ze die. Ze evalueerden de beveiliging van de systemen van elk van de klanten van SW afzonderlijk, één voor één, en pasten vervolgens elke inbreuk aan de klant aan.
De tijdlijn van de aanval
2019: Voorbereiden op de aanval
4 september
Onbekende, hoogopgeleide cyberaanvallers krijgen toegang tot SolarWinds.
12 september
Slechte actoren injecteren hun SUNBURST-code in de Orion Platform Software als een eerste test. Door gebruik te maken van Amerikaanse servers en sterk gecamoufleerd netwerkverkeer konden ze detectie vermijden door elk netwerk dat het Orion platform gebruikt.
2020: De aanval begint
20 februari
Na het updaten van de SUNBURST-code voeren de slechte actoren hun aanval uit. In de daaropvolgende maanden slagen ze erin om binnen te dringen in de individuele netwerken van veel Orion-gebruikers.
4 juni
De hackers halen hun trojancode uit SolarWinds en wissen zo hun sporen uit.
8 december
Een cyberbeveiligingsbedrijf, FireEye, kondigt aan dat hackers hun tools voor penetratietesten hebben gestolen ("red team" tools die worden gebruikt om de cyberbeveiliging van hun klanten te testen) en waarschuwen andere bedrijven voor het bijbehorende risico als deze tools tegen hen worden gebruikt.
11 december
FireEye onderzoekt verder en stelt vast dat SolarWinds de hoofdoorzaak van het lek was. Ze ontdekten dat de updates van het Orion Platform getrojaniseerd waren, waardoor ze SolarWinds-clients konden infiltreren vanaf elke softwarerelease van maart 2020 tot juni.
12 december
FireEye onthult aan SolarWinds dat hun Orion-platform is gehackt door hackers. Het Witte Huis en de NSC beleggen een vergadering om de omvang van de hack bij overheidsorganisaties vast te stellen.
13 december
Na beoordeling van de situatie heeft het CISA (Cybersecurity and Infrastructure Security Agency) een noodmandaat afgekondigd voor alle overheidsinstellingen om alle SolarWinds Orion-activiteiten te verwijderen vanwege de aanhoudende gevaren voor de nationale veiligheid.
FireEye meldt dat een cyberaanvaller de toeleveringsketen van SolarWinds-updates heeft gewapend en vervolgens wereldwijd klanten heeft gekraakt.
SolarWinds beschrijft de inbraak in hun Orion-platform en geeft methoden voor hun klanten om hun netwerken te verdedigen. Microsoft geeft ook een verklaring over de gevolgen van de SolarWinds hack voor hun klantenbestand.
Reuters maakt het verhaal van SolarWinds openbaar, met details over Rusland als hoofdverdachte en de onbepaalde omvang van de aanval op de Amerikaanse federale overheid.
15 december
De senaat vraagt dat de FBI en CISA de kwestie SolarWinds onderzoeken en meer informatie over de cyberaanval op de overheid te verstrekken aan het Congres.
Een softwarepatch wordt geleverd door SolarWinds; zij geven aanvullende informatie over de aanval.
Journalisten geven informatie vrij dat Homeland Security, de NIH, de DHS en anderen het slachtoffer zijn geworden.
16 december
De cyberbeveiligingsgemeenschap bepaalt het domein dat door de cyberaanvallers wordt gebruikt, samen met een 'kill switch' om de SUNBURST-code uit te schakelen.
De FBI begint hun onderzoek naar de oorsprong van de aanval om toekomstige risico's op aanvallen te beperken.
De New York Times legt uit wat het risico is voor de veiligheid van onze natie.
SolarWinds gaat dieper in op de aanval; ze leggen uit dat hun managed service provider tools niet zijn gecompromitteerd, maar dat er wel stappen zijn ondernomen om verdere inbreuken te voorkomen, aangezien alle partners zijn geïnformeerd om hun digitaal ondertekende certificaten opnieuw in te stellen omdat SolarWinds oude referenties heeft ingetrokken.
17 december
Microsoft's infosec team kondigt aan dat hun orion software gecompromitteerd was, maar dat het risico is geëlimineerd. Ze melden dat hun systeem niet gecompromitteerd leek te zijn.
19 december
Volgens aankondigingen van de media en cyberbeveiligingsanalisten werd de verdediging van ongeveer 200 bedrijven en instellingen gecompromitteerd.
22 december
Er komen meer beveiligingsupdates van SolarWinds beschikbaar.
Kerstavond
SolarWinds legt uit hoe de nieuwste beveiligingspatches en -fixes de Orion Supernova-aanval aanpakken.
30 december
Het agentschap voor cyberbeveiliging en infrastructuur geeft de andere overheidsdepartementen opdracht om hun Orion-software bij te werken naar de updateversie 2020.2.1HF2.
2021: SolarWinds Nasleep
5 januari
5 januari
6 januari
Een verslaggever van de NYT schrijft dat het JetBrians TeamCity CI/CD platform mogelijk betrokken is bij de Russische cyberaanval. De TeamCity server helpt ontwikkelaars bij het bouwen van afgeronde software, waaronder SolarWinds software.
De CEO van JetBrians ontkent dat er een onderzoek loopt en beweert dat gebruikersfouten en verkeerde configuratie heel goed kunnen hebben geleid tot een inbreuk.
SolarWinds haalt zijn vorige CEO binnen voor interim-consultancy om de gevolgen van de aanval op te vangen.
8 januari
SolarWinds breidt zijn PR-inspanningen uit om het verzet te verzachten, zegt meer middelen voor cyberbeveiliging te zullen inzetten en zijn inspanningen uit te breiden. SolarWinds neemt infosec-consultants in dienst die voorheen voor Facebook en de CISA werkten.
11 januari
Kaspersky trekt een vergelijking tussen de SolarWinds-aanval en eerdere activiteiten van de Russische veiligheidsdienst handlanger op het gebied van cyberoorlog, de Turla-groep.
Crowdstrike beschrijft in detail hoe de Russische aanvallers een tool genaamd SUNSPOT gebruikten om de SolarWinds systemen aan te vallen en hun SUNBURST achterdeur te creëren.
SolarWinds neemt meer InfoSec-teamleden aan en er wordt meer informatie over de aanval vrijgegeven.
SolarWinds: Toekomstige gevolgen voor gegevensbeveiliging en de InfoSec-industrie.
Er is in jaren niet zo'n opvallende cyberaanval geweest als de inbreuk bij SolarWinds (voor zover wij weten).
Hoewel we misschien nooit de volledige omvang van de aanval zullen weten, lijkt de consensus te zijn dat dit een veelzijdige ketenaanval was. CI/CD-server infiltratie in de software build van solarwinds -> toegang tot update software -> toegang tot Orion Platform van clients -> handmatig infiltreren van de clientnetwerken.
Federale overheden werden in gevaar gebracht. Bedrijven over de hele wereld werden gecompromitteerd. Om toekomstige aanvallen te voorkomen, hebben we betere communicatie tussen cyberbeveiligingsteams nodig. Door informatie over bedreigingen te delen, kunnen we voorkomen dat aanvallen zoals deze escaleren.
Aanvallen op de toeleveringsketen gaan nergens heen; software van derden is eenvoudig te manipuleren om de applicaties waarmee ze samenwerken te infiltreren. Het wordt ook minder routinematig onderzocht en overwogen dan interne software. Als gevolg hiervan zullen bedrijven hun verdediging tegen toegang door externe leveranciers zeker versterken. Het valt nog te bezien of dit genoeg zal zijn om soortgelijke aanvallen te voorkomen.
Hoewel JetBrains niet formeel is aangewezen als een van de aanvalsvectoren, versterkt het feit dat ze niet kunnen worden uitgesloten het belang van het beschermen van de softwareontwikkelomgeving. SAST, DAST en SCA tools voor beveiligingstesten zullen zich uitbreiden en algemener worden om risico's in de kiem te smoren voordat ze een groter probleem kunnen worden.
Als hypersegmentatie en nul vertrouwen beleid wordt geïmplementeerd, zullen teams zich moeten aanpassen aan de nieuwe beperkingen en nieuwe manieren moeten vinden om de activiteiten en communicatie binnen het netwerk in stand te houden.
Tot slot is het van cruciaal belang om een veilige IT-levenscyclus te handhaven om fysieke gegevensdragers te beschermen tegen datalekken. Tijdens het helpen van onze ITAD-klanten hebben we talloze logins en digitale certificaten gevonden en beveiligd op onschuldige media zoals flash drives die per ongeluk in servers zijn achtergelaten. Vraag een gratis offerte aan om uw merk te beschermen en kapitaal terug te winnen uit uw IT-middelen.
Dutch 
English 
German 
Spanish 
French 
Swedish