FireEye ontkent phishing als ingang voor vergaande hack

De digitale inbraak bij FireEye, waarbij diens Red Team-tools zijn gestolen, heeft na onderzoek door dat slachtoffer geleid tot de ontdekking van succesvolle hacks bij diverse instellingen van de Amerikaanse overheid. De hack op het cyberbeveiligingsbedrijf was namelijk onderdeel van een brede aanvalscampagne, waarbij buitenlandse hackers maandenlang toegang hadden tot interne systemen van meerdere ministeries, overheidsagentschappen en bedrijven.

Inloggegevens van werknemer

Het door FireEye ingestelde onderzoek zou zijn geïnitieerd na een verdachte inlogactie, meldt nieuwssite Politico. De hackers zouden toegang hebben gekregen tot het netwerk van FireEye door een werknemer te laten inloggen op een neppagina en zo diens inloggegevens buit te maken, zouden vertegenwoordigers van FireEye hebben toevertrouwd aan Amerikaanse parlementariërs.

Deze berichtgeving wordt door FireEye zelf tegengesproken. De inbraak zou niet zijn ontdekt na een verdachte inlogactie, waarvoor de credentials zouden zijn buitgemaakt via phishing, maar nadat de aanvallers een nieuw apparaat voor inloggen wilden registreren. Die toevoeging aan de gehanteerde lijst van vertrouwde devices heeft een alarmmelding gegeven bij FireEye, verklaren leidinggevenden nu.

De daadwerkelijke bron voor de aanval op systemen bij het IT-beveiligingsbedrijf is volgens FireEye de gecompromitteerde beheersoftware van SolarWinds. Het veelgebruikte Orion-pakket van die leverancier is binnen dat bedrijf voorzien van een backdoor. Daarbij is de software voorzien van een valide digitale handtekening zodat de gewijzigde code als legitiem wordt gezien. Daarna is deze 'voorgehackte' beheersoftware via updates verspreid onder klanten.

Multi-factor authenticatie

"We hebben het incident aanvankelijk gedetecteerd omdat we een verdachte authenticatie zagen op onze VPN-oplossing", verklaart topman Charles Carmakal tegenover Politico. "De aanvaller was in staat om een device in te schrijven op onze multi-factorauthenticatie-oplossing, en dat veroorzaakte een alarm waar we opvolging aan gaven", aldus de CTO van FireEye's Mandiant-tak voor incident response.

Een woordvoerder van FireEye heeft nog expliciet verklaard dat de oorzaak van de inbraak bij de cybersecurityfirma níet een succesvolle phishingaanval op een werknemer was. Daarbij wordt ook ontkend dat dit zou zijn verteld aan parlementariërs, wat bronnen van Politico wel beweren. Het is niet bekend hoe lang het heeft geduurd voordat het gehackte beveiligingsbedrijf doorhad dat het zelf slachtoffer is geworden van waar het voor waarschuwt, tegen behoedt en na incidenten mee helpt.

Grote, lopende aanval

De cyberaanval op de Amerikaanse overheidsnetwerken is "aanzienlijk en lopend", lieten de federale politiedienst FBI, de cyberbeveiligingsdienst CISA en de nationale inlichtingenchef woensdag weten in een gezamenlijke verklaring. De FBI stelt druk bezig te zijn met onderzoek om de hackers te identificeren, op te sporen en om hun activiteiten te verstoren.

Amerikaanse media hebben de afgelopen dagen gemeld dat onder meer de ministeries van Handel, Financiën, Binnenlandse Veiligheid, Buitenlandse Zaken en Defensie zijn getroffen. Daarnaast zouden de hackers ook succesvol hebben ingebroken in het netwerk van de Nationale Gezondheidsinstituten (NIH). Het ministerie van Buitenlandse Zaken van de VS weigerde maandag commentaar te geven. Ook de NIH gaf geen commentaar. Het Pentagon liet woensdag weten dat het "geen bewijs" heeft dat de netwerken van het ministerie van Defensie zijn gecompromitteerd.