VS: grote overheidshack ook zónder SolarWinds-backdoor

De Cybersecurity & Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft bewijs dat er meerdere initiële toegangsvectoren zijn gebruikt door de daders achter de grootschalige hackoperatie tegen organisaties in de Verenigde Staten. Het gaat hierbij dus om andere manieren om binnen te komen naast de ontdekte backdoor die is aangebracht in updates voor SolarWinds' beheersoftware Orion. De CISO onderzoekt de zaak.

Ook lokale overheden

Hierbij merkt het IT-security-orgaan van de Amerikaanse overheid op dat er niet alleen ministeries zijn geraakt, maar ook staten en lokale overheden. Daarnaast behoren ook nutsbedrijven en bedrijven tot de slachtoffers van de sluwe hackoperatie die maandenlang ongemerkt is gebleven.

In een gister bijgewerkt bericht meldt de CISA dat het nu specifiek incidenten onderzoekt waarbij er sprake is van misbruik van SAML-tokens (Security Assertion Markup Language). Dit misbruik vertoont eigenschappen die overeenkomen met het gedrag van de hackers achter de grote cyberspionage-operatie. Deze overheidshack is door securitybedrijf FireEye ontdekt toen het zelf is gehackt.

In kaart brengen

Bij de niet nader toegelichte security-incidenten met SAML-tokens is er geen sprake van gecompromitteerde installaties van de SolarWinds-software, meldt CISA. Het agentschap is nu bezig om de initiële toegangsvectoren van deze hacks te bevestigen en om daarbij gebruikte, andere tactieken, technieken en procedures (TTP's) van de daders te identificeren.