'SolarWinds-hackers zijn continu actief'

Microsoft wees vorige week op een hernieuwde activiteit van Nobelium, de groep achter de SolarWinds-aanval waarbij spionnen doordrongen tot in de kern van systemen van veel - vooral Amerikaanse - overheidsdiensten. FireEye - de IT-beveiliger die de SolarWinds-strategie blootlegde - ziet de nieuwe Nobelium-activiteiten als 'banaal'.

Thijs DoorenboschMeer van deze auteur

spionage — © CC0 - Pixabay

CC0 - Pixabay

Eind vorige week ontstond wat commotie over de inbraak bij Constant Contact, een e-mailservice die vervolgens door Nobelium werd ingezet voor een grootschalige phishingcampagne die is gericht op denktanks, consultancybureaus en non-gouvernementele organisaties. In totaal werden daarmee 3000 personen van meer dan 150 organisaties bestookt, het merendeel in de VS.

Microsoft suggereerde in een blog dat Nobelium zijn taktieken aan het veranderen is, nadat de strategie was blootgelegd waarin SolarWinds zo'n belangrijke rol speelde. De conclusie was dat de nieuwe strategie niet zo succesvol was, omdat de meeste phishingmails worden tegengehouden, in ieder geval door Microsofts eigen Defender-beveiligingssoftware.

Spionnen laten zich niet afschrikken

FireEye ziet in de aanval op Constant Contact echter niets ongebruikelijks. John Hultquist, vice president intelligence analysis bij de IT-beveiliger zegt tegen Ars Technica zelfs dat in vergelijking met het geavanceerde karakter van de SolarWinds-aanval deze strategie niet meer is dan 'business as usual'. Ondanks dat de Amerikaanse overheid sancties heeft ingesteld tegen Rusland - de vermoedelijke opdrachtgever van Nobelium - laat de groep cybercriminelen zich niet afschrikken en zal die dat in de toekomst ook niet laten gebeuren, volgens Hultquist.

Al jaren afgeluisterd

NGO's en de denktanks rond de overheid zijn al jarenlang makkelijke doelwitten met eenvoudige toegang, concludeert een voormalig IT-beveiligingsadviseur van het Department of Homeland Security. Volgens hem is het een publiek geheim dat sommige van de doelen van de nieuwe aanval - USAID en het State Department - een rommeltje zijn van uitbestede IT-netwerken en infrastructuur. Sommige van die systemen zouden al jaren worden afgeluisterd.

Ondertussen, zo benadrukt Hultquist, gaan de activiteiten via SolarWinds nog gewoon door, ondanks de grote aandacht die ervoor is geweest. "Ik ben er zeker van dat ze nog steeds toegang hebben tot sommige van de organisaties waar de SolarWinds-aanval succes had. Hoewel de bulk van de activiteit is weggeëbd, ligt het voor de hand dat ze nog op verschillende plekken konden blijven rondhangen."