SolarWinds-aanval ontdekt door controle op tweestapsverificatie

De SolarWinds-aanval werd in december wereldkundig gemaakt door beveiligingsbedrijf FireEye en Microsoft. Hackers wisten malware toe te voegen aan de netwerkbeheersoftware Orion van leverancier SolarWinds. Langs deze weg hebben zij achterdeurtjes weten te implementeren in zeker 18.000 organisaties. Die backdoortoegang is echter lang niet overal ook echt benut; de aanval was zeer doelgericht.

Uit analyses blijkt dat de aanval erg geavanceerd was. De hackers begonnen hun hackcampagne al in september 2019, concludeerde IT-beveiligingsbedrijf Crowdstrike al. Daarbij gebruikten de aanvallers een meertrapsmethode met diverse malware strains. "Als je vanuit een software engineering-perspectief kijkt is dit waarschijnlijk de grootste en meest geavanceerde aanval die de wereld ooit heeft gezien", zei Microsoft-topman Smith tijdens de uitzending van het tv-programma 60 Minutes.

Verificatie van tweestapsverificatie

De aanval zelf werd door FireEye ontdekt, waar alarmbellen afgingen na een inlogpoging van een werknemer. De aanvallers wisten een tweede telefoon toe te voegen aan een werknemersaccount bij FireEye. Die telefoon moest gebruikt worden voor de tweestapsverificatie waarmee op afstand ingelogd kan worden op de VPN-omgeving van het bedrijf, vertelt Mandia. 

"Een FireEye-werknemer logde in, maar toen onze beveiligingsmedewerkers naar de inlogpoging keken zagen ze dat dit individu twee telefoons op zijn naam had staan. Dus onze beveiligingsmedewerker belde diegene op en vroeg: 'Heb je een tweede apparaat op ons netwerk geregistreerd?' De werknemer antwoorde: 'Nee, dat was ik niet.' "

Het bedrijf besloot zijn eigen systemen te controleren en ontdekte dat indringers zich voordeden als werknemers, terwijl ze securitytools van FireEye stalen. Er waren echter niet direct duidelijke aanwijzingen hoe de hackers wisten in te breken. FireEye besloot daarop alle eigen machines en systemen door te lichten. Daarbij werden steeds indicatoren gevonden dat het SolarWinds-systeem gecompromitteerd was. Nadat besloten werd die beheersoftware volledig te doorzoeken, werd de malware in Orion gevonden.

Tot 1000 tellen?

Eén van de slachtoffers van de aanval was Microsoft. Het bedrijf deed de afgelopen maanden uitvoerige analyses. "Nadat we alles wat we bij Microsoft gezien hadden geanalyseerd hadden, vroegen we onszelf af hoeveel engineers aan deze aanval hebben meegewerkt. We kwamen uit op zeker duizend", vertelt Smith nu.

Dat aantal is vorige maand al genoemd door The New York Times op basis van bronnen betrokken bij het onderzoek. Die claims hebben toen al tot discussie geleid onder securityprofessionals. Het geschatte getal zou mogelijk zijn bereikt door bijvoorbeeld een hele overkoepelende afdeling van een inlichtingendienst mee te tellen, in plaats van alleen de daadwerkelijke software-ingenieurs.

Microsoft-topman Smith vertelt nu dat de hackers relatief weinig code hoefden aan te passen binnen Orion om hun aanval mogelijk te maken. Hij stelt dat slechts 4.032 regels code werden herschreven. Orion zelf bestaat uit miljoenen regels code. 

'Aanval loopt nog'

Smith denkt bovendien dat de SolarWinds-aanval nog steeds loopt. "Het is vrijwel zeker dat deze aanvallen nog bezig zijn", aldus de topman. Aan de hand van de getroffen organisaties concludeert Smith verder dat de aanvallers behoren tot een buitenlandse inlichtingendienst. "De aanval legt mogelijk geheimen van de Verenigde Staten en andere overheden bloot, evenals die van private bedrijven. Ik denk niet dat iemand zeker weet hoe al die informatie gebruikt wordt. Maar we weten wel dat het in verkeerde handen is gevallen."

Vorige maand stelden Amerikaanse inlichtingendiensten en onderzoekers van de Russische securityleverancier Kaspersky al dat de aanval waarschijnlijk van Russische komaf is. Kaspersky ontdekte opvallende gelijkenissen met eerder ontdekte malwarecode, die gelinkt is aan een hackersgroepering die banden zou hebben met de Russische inlichtingendienst FSB.