Beheer

Security
hacker

Overheid VS gehackt via malware in updates voor beheertool

Backdoor via bekende beheertool, maanden terug al gedistribueerd door leverancier.

© CC0,  Pixabay
14 december 2020

Backdoor via bekende beheertool, maanden terug al gedistribueerd door leverancier.

Doelgerichte aanvallers hebben zich sluw toegang verschaft tot de IT-omgevingen van Amerikaanse overheidsinstanties om daar maandenlang mee te kijken met interne communicatie. Deze diepgaande digitale inbraak is gepleegd door eerst een leverancier van monitoring- en beheersystemen te compromitteren. Digitaal ondertekende updates voor die software, die de leverancier heeft uitgebracht, waren voorzien van backdoors.

Het gaat om monitoring- en beheersysteem Orion van leverancier SolarWinds. Die software is al zeker sinds maart dit jaar gecompromitteerd. Toen is de eerste van een reeks malafide updates voorzien van een valide digitale handtekening.

Daarmee zijn die 'getrojaniseerde' updates als legitiem beschouwd; door de leverancier die de updates heeft gedistribueerd naar klanten én door die gebruikers. Het accepteren als echt en vertrouwd geldt ook voor eventueel gebruikte software voor controle en security.

Sluw verpakt en vermomd

Deze ogenschijnlijk betrouwbare updates hebben bij gebruikers automatisch backdoors binnengebracht, die zijn geïnstalleerd vóór de code van de Orion-updates. Daarmee is ook de monitoringsoftware zelf om de tuin geleid. Na installatie hebben de backdoors zich maximaal twee weken koest gehouden om vervolgens via een DNS-verzoek aan een subdomein van de .com-site avsvmcloud contact te zoeken met de aanvallers.

Via dat subdomein is een DNS-reactie gegeven die de backdoor doorverwijst naar een aansturingsserver (command&control domain) van de aanvallers. De communicatie met de kwaadaardige c&c-domeinen is vermomd als normale API-communicatie van de SolarWinds-software, legt securityleverancier FireEye uit in een uitgebreide analyse van deze operatie. Die Amerikaanse specialist is zelf recent ook gehackt en heeft daar een boekje open over gedaan.

Echte accounts gebruiken

De nu bekende slachtoffers van deze overheidshack in de VS zijn het Amerikaanse ministerie van Financiën en het ministerie van Handel. Daar is maandenlang de interne communicatie 'afgeluisterd'. De zeer heimelijk opererende hackers hebben daarbij veel gebruik gemaakt van legitieme accounts, om zo hun activiteiten zo ongezien mogelijk te houden.

De daders zouden hackers zijn in dienst van of gelieerd aan de Russische inlichtingendienst, zo stellen bronnen van Amerikaanse media waaronder zakenkrant The Wall Street Journal en persbureau Reuters. Rusland ontkent deze aantijgingen, meldt Reuters. Leverancier SolarWinds bevestigt dat zijn software is gecompromitteerd en meldt dat het gaat om updates die tussen maart en juni dit jaar zijn uitgebracht.

Hotfix in de maak

Naar verwachting komt er morgen een hotfix (release 2020.2.1 HF 2) uit die het gecompromitteerde dll-component vervangt én die dan ook extra beveiligingsverbeteringen brengt. In afwachting daarvan krijgen klanten het dringende advies om hun Orion-installate zo snel mogelijk te upgraden naar de meest actuele release (2020.2.1 HF 1), om geïnstalleerde hotfixes te inventariseren, en om nu gepubliceerde richtlijnen voor betere beveiliging van Orion te volgen.

Ondertussen zou deze gerichte hackcampagne nog wel actief zijn. De gevallen die momenteel bekend zijn, zouden slechts het topje van de ijsberg zijn. De brede hackcampagne waar de inbraak via SolarWinds' beheersoftware onder valt, zou gelinkt zijn aan de hack van securityleverancier FireEye die ook klanten in overheidskringen heeft.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Harry Oldinkhof 15 december 2020 11:13

Heb hier toch een Deja-Vu...

CCleaner, oktober 2017?

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.