Microsoft: tweede groep actief via SolarWinds-hack

Het uitpluizen van hoe de netwerkmonitoring- en beheersoftware van SolarWinds is gecompromitteerd, heeft onderzoekers van Microsoft tot een verrassende vondst gebracht. Zij hebben een andere backdoor gevonden die ook via de gehackte Orion-beheersoftware is verspreid. De experts van het Microsoft 365 Defender Research Team en het Microsoft Threat Intelligence Center (MSTIC) stellen dat deze malware niet gerelateerd is aan de oorspronkelijk ontdekte backdoor (die door Microsoft Solorigate wordt genoemd).

Eigen code uitvoeren

Op basis van een analyse van dit andere kwaadaardige DLL-bestand komen de beveiligingsonderzoekers van Microsoft tot de conclusie dat deze afkomstig is van een andere groep aanvallers. In tegenstelling tot de Solorigate-backdoor is deze DLL namelijk niet digitaal ondertekend. Deze tweede backdoor geeft de hackers erachter de mogelijkheid om op afstand eigen code uit te voeren op de webapplicatieserver van SolarWinds.

Het is vooralsnog niet bekend of en waar deze hackmogelijkheid is benut door deze andere aanvallers. En ook is het onbekend uit welke cybercrimebende of welk land deze tweede aanvalsgroep afkomstig is. Van de eerste wordt aangenomen dat de hackers gelieerd zijn aan of in dienst van de Russische inlichtingendienst. De ontdekking van extra malware wordt door Microsoft pas genoemd onderaan een lijvige blogpost over het lopende onderzoek naar de SolarWinds-hack.