De Amerikaanse regering heeft de Russische inlichtingendienst SVR officieel beschuldigd van de wereldwijde SolarWinds-aanval.
SolarWinds maakte op 14 december vorig jaar bekend dat aanvallers maandenlang onopgemerkt toegang hadden tot de systemen van het bedrijf. Zo konden updates voor de Orion-software van een backdoor worden voorzien. Zo'n 18.000 organisaties installeerden de besmette updates.
The White House
Volgens het Witte Huis laat de SolarWinds-aanval het risico zien wanneer er ict-technologie en -diensten worden gebruikt die zijn geleverd door bedrijven die gebruikersdata in Rusland opslaan of gebruikmaken van Russische programmeurs of technische supportmedewerkers. De Amerikaanse overheid kijkt nog of er verdere maatregelen moeten worden genomen om de supply chain van Amerikaanse organisaties beter tegen aanvallen door Rusland te beschermen.
Sancties Biden
Vanwege de SolarWinds-aanval en pogingen om de presidentsverkiezingen van afgelopen jaar te beïnvloeden heeft de Amerikaanse president Biden nu sancties aangekondigd. Zo zijn meerdere Russische diplomaten uitgezet. Tevens zijn tegen 32 Russen of Russische instellingen sancties afgekondigd.
"Ruslands patroon van kwaadaardig gedrag over de hele wereld, of het nu gaat om cyberspace, inmenging bij verkiezingen of agressieve operaties van hun inlichtingendiensten toont aan dat Rusland de meest acute bedreiging blijft voor de nationale en collectieve veiligheid van het VK", aldus de Britse regering. in een verklaring.
Omwille van die reden heeft het Amerikaanse ministerie van Financiën ingrijpende sancties tegen Rusland opgelegd voor "ondermijning van het verloop van vrije en eerlijke verkiezingen tegen democratische instellingen". Het wordt Rusland verweten dat ze een rol speelden bij het faciliteren van de SolarWinds-hack. Ook zijn zes technologiebedrijven in het land uitgesloten die ondersteuning boden aan het cyberprogramma van de Russische inlichtingendiensten.
De bedrijven zijn, ERA Technopolis, Pasit, Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA), Neobit, Advanced System Technology en Pozitiv Teknolodzhiz (Positive Technologies), waarbij de laatste drie IT-beveiligingsbedrijven als klant hebben de Russische inlichtingendiensten.
Bovendien zet de regering-Biden ook tien leden van de Russische diplomatieke missie in Washington D.C. uit, waaronder vertegenwoordigers van de inlichtingendiensten.
"De reikwijdte en schaal van deze hacks, gecombineerd met Ruslands geschiedenis van het uitvoeren van roekeloze en ontwrichtende cyberoperaties, maakt het tot een nationale veiligheidskwestie", zei het ministerie van Financiën. "De SVR heeft de wereldwijde toeleveringsketen van technologie in gevaar gebracht door het installeren van malware op de machines van tienduizenden klanten van SolarWinds."
Moskou had eerder hun betrokkenheid bij de SolarWinds-hack ontkend, met als reden "we voeren geen offensieve operaties uit in het cyberdomein."
Hack FireEye
De hacks kwamen aan het licht in december 2020 toen FireEye en andere cyberbeveiligingsbedrijven onthulden dat de operators achter de spionagecampagne er al in oktober 2019 in slaagden de software-build en code-ondertekeningsinfrastructuur van het SolarWinds Orion-platform in gevaar te brengen door een Sunburst-achterdeur te plaatsen met als doel het verzamelen van gevoelige informatie.
Er wordt aangenomen dat tot 18.000 SolarWinds-klanten de getrojaniseerde Orion-update hebben ontvangen, hoewel de aanvallers hun doelen zorgvuldig hebben geselecteerd en ervoor hebben gekozen om de aanvallen slechts in een handvol gevallen te escaleren door Teardrop-malware in te zetten op basis van een eerste verkenning van de doelomgeving.
Het hacken van de SolarWinds-software zou de hackers de mogelijkheid hebben gegeven om op afstand meer dan 16.000 computersystemen wereldwijd te bespioneren of mogelijk te verstoren.
Naast het infiltreren in de netwerken van Microsoft , FireEye , Malwarebytes en Mimecast , zouden de aanvallers ook SolarWinds hebben gebruikt als opstapje om verschillende Amerikaanse instanties te hacken, zoals de National Aeronautics and Space Administration (NSA), de Federal Aviation Administration (FAA). ), en de ministeries van Staat, Justitie, Handel, Binnenlandse Veiligheid, Energie, Financiën en de National Institutes of Health.
De SVR-hackers zijn ook bekend onder andere namen, zoals APT29, Cosy Bear en The Dukes, waarbij de dreigingsgroep wordt gevolgd door verschillende security experts, waaronder UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) en Nobelium (Microsoft).
Bovendien heeft de National Security Agency (NSA), de Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) gezamenlijk een advies uitgebracht waarin bedrijven worden gewaarschuwd voor de actieve uitbuiting van vijf publiekelijk bekende kwetsbaarheden door APT29 om zo een eerste voet aan de grond te krijgen bij apparaten en netwerken van slachtoffers.
- CVE-2018-13379 - Fortinet FortiGate VPN
- CVE-2019-9670 - Synacor Zimbra Collaboration Suite
- CVE-2019-11510 - Pulse Secure Pulse Connect Secure VPN
- CVE-2019-19781 - Citrix Application Delivery Controller en Gateway
- CVE-2020-4006 - VMware Workspace ONE Access
"We zien wat Rusland doet om onze democratieën te ondermijnen", zei de Britse minister van Buitenlandse Zaken Dominic Raab. "Het VK en de VS veroordelen het kwaadaardige gedrag van Rusland, zodat onze internationale partners en bedrijven zich beter kunnen verdedigen en zich tegen dit soort acties kunnen voorbereiden."
Bron: whitehouse.gov, thehackernews.com, security.nl
Tips of verdachte activiteiten gezien? Meld het hier.