Beheer

Security
securityonderzoek

Microsoft: tweede groep actief via SolarWinds-hack

Andere malware gevonden die via SolarWinds-beheersoftware is verspreid.

© Microsoft
22 december 2020

Andere malware gevonden die via SolarWinds-beheersoftware is verspreid.

Security-onderzoek van Microsoft naar de verreikende SolarWinds-hack heeft geleid tot de ontdekking van een tweede backdoor. Deze malware is opvallend anders dan de oorspronkelijke backdoor die via updates voor SolarWinds' Orion-software is gedistribueerd. Microsoft vermoedt dat dit het werk is van een andere groep aanvallers.

Het uitpluizen van hoe de netwerkmonitoring- en beheersoftware van SolarWinds is gecompromitteerd, heeft onderzoekers van Microsoft tot een verrassende vondst gebracht. Zij hebben een andere backdoor gevonden die ook via de gehackte Orion-beheersoftware is verspreid. De experts van het Microsoft 365 Defender Research Team en het Microsoft Threat Intelligence Center (MSTIC) stellen dat deze malware niet gerelateerd is aan de oorspronkelijk ontdekte backdoor (die door Microsoft Solorigate wordt genoemd).

Eigen code uitvoeren

Op basis van een analyse van dit andere kwaadaardige DLL-bestand komen de beveiligingsonderzoekers van Microsoft tot de conclusie dat deze afkomstig is van een andere groep aanvallers. In tegenstelling tot de Solorigate-backdoor is deze DLL namelijk niet digitaal ondertekend. Deze tweede backdoor geeft de hackers erachter de mogelijkheid om op afstand eigen code uit te voeren op de webapplicatieserver van SolarWinds.

Het is vooralsnog niet bekend of en waar deze hackmogelijkheid is benut door deze andere aanvallers. En ook is het onbekend uit welke cybercrimebende of welk land deze tweede aanvalsgroep afkomstig is. Van de eerste wordt aangenomen dat de hackers gelieerd zijn aan of in dienst van de Russische inlichtingendienst. De ontdekking van extra malware wordt door Microsoft pas genoemd onderaan een lijvige blogpost over het lopende onderzoek naar de SolarWinds-hack.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.