Ontwikkelsoftware verdacht in SolarWinds-hack

“JetBrains heeft niet deelgenomen aan of was betrokken bij deze aanval, op wat voor manier dan ook”, stelt CEO Maxim Shafirov in een verklaring. Hij reageert op de onthulling van The New York Times dat developmentsoftware van zijn bedrijf betrokken was in de digitale inbraak bij softwareleverancier SolarWinds.

Via-via-via

Beheertool Orion van SolarWinds is door aanvallers voorzien van een backdoor, waarna de gecompromitteerde code netjes is ondertekend met een digitaal certificaat en als legitiem lijkende update is verspreid onder klanten. De ingang bij SolarWinds zou mogelijk de daar gebruikte ontwikkelsoftware van JetBrains zijn. Het bijna 21 jaar oude Tsjechische bedrijf is onder de naam IntelliJ Software opgericht door drie Russische software-ontwikkelaars.

Deze leverancier ‘vooraan’ in de IT supply chain wordt nu onderzocht door Amerikaanse inlichtingendiensten en particuliere cybersecurity-onderzoekers, zo meldt de Amerikaanse krant. Het onderzoek kijkt of JetBrains is gehackt en gebruikt als middel om backdoors te implanteren bij een nog onbekend aantal technologiebedrijven. Daaronder dus in ieder geval SolarWinds.

Configuratiefouten?

Het gecompromitteerde ontwikkelpakket zou TeamCity zijn, een CI/CD-systeem (continuous integration /continous development). Daarvan geeft JetBrains-CEO Shafirov aan dat het een complex product is. Software die “juiste configuratie” vereist, aldus de topman. Hij erkent dat SolarWinds één van zijn klanten is, maar benadrukt dat JetBrains niet is gecontacteerd door die klant met details over de securityschending bij die Amerikaanse softwarefirma.

Daarnaast geeft hij aan dat geen enkele overheid of security-organisaties contact heeft opgenomen met JetBrains over deze zaak. Shafirov verklaart dat het bedrijf zich niet bewust is dat het onderzocht wordt. “De enige informatie die we hebben, is wat publiekelijk beschikbaar is gemaakt”, aldus de topman.

“Als TeamCity op één of andere manier is gebruikt in dit proces, zou het zeker te wijten kunnen zijn aan misconfiguratie, en niet aan een specifieke kwetsbaarheid.” De CEO stelt dat security de “top concern” is van het bedrijf, en dat het transparant is over updates.

Breed bereik, gericht benut

De onthulling van The New York Times houdt ook rekening met verkeerde instelling en gebruik van TeamCity door SolarWinds. Cybersecurity-experts verklaren tegenover de krant dat de Russische hackers ongemerkt backdoors hebben kunnen plaatsen “door het compromitteren van TeamCity, of het misbruiken van gaten in hoe klanten de tool gebruiken”.

Gebruik van TeamCity is wijdverbreid en JetBrains’ producten doen dienst bij 79 van de bedrijven in de Fortune 100, meldt mede-auteur Nicole Perlroth. Onder de klanten bevinden zich naast het gehackte SolarWinds ook grote tech-namen als Google, Siemens, HP en VMware. Laatstgenoemde heeft ook SolarWinds’ Orion in huis, en heeft daarin de backdoor aangetroffen.

JetBrains is ook groot in de Android-wereld en heeft in zijn portfolio aan ontwikkeltools ook een IDE (integrated development environment) voor programmeertaal Python. Daarnaast is het de ontwerper van de cross-platform programmeertaal Kotlin, die door Google is omarmd als voorkeurstaal voor de ontwikkeling van Android-apps.

Slechts een van de routes?

Het is nog niet duidelijk of en hoe JetBrains’ TeamCity-software is misbruikt door de aanvallers. Mogelijk was het slechts één van de ingangen waarmee de APT-groepering (advanced persistent threat) zijn doorgedrongen diep in enkele overheidsorganisaties in de Verenigde Staten en specifieke tech-toeleveranciers. Amerikaanse inlichtingendiensten hebben eerder deze week officieel verklaard dat de daders van Russische komaf zijn.