Een groot aantal bedrijven en instellingen in de Benelux vreest slachtoffer te worden van de spectaculaire hack van SolarWinds. Vermoedelijke Russische hackers hebben in hun systemen maandenlang kunnen rondsnuffelen. De angst bestaat dat de aanvallers meer hebben gedaan dan alleen het meelezen van e-mailverkeer.
Onder de honderden Nederlandse en Belgische klanten van Solar Winds Orion, software voor het monitoren van netwerken, is grote onrust ontstaan.
Dit meldt Donald Bakels, directeur van Adfontes Software, distributeur en strategisch partner van SolarWinds. Volgens hem is in verschillende directiekamers de rode bal gehesen. Sommige klanten denken aan draconische stappen. Een grote Nederlandse bank speelt met de gedachte zelfs de hele SolarWinds-omgeving vervangen. Overwogen wordt alle SolarWinds-installaties te verwijderen, nieuwe servers in te richten en alles helemaal van de grond af aan opnieuw op te bouwen. Een grote Nederlandse instelling op gebied van de gezondheidszorg is bang dat patiëntgegevens op straat komen. Bakels: ‘De schrik zit er goed in.’
Hij wil geen namen van Orion-gebruikers noemen, maar bevestigt dat deze software ook door veel overheidsinstellingen wordt gebruikt. Wereldwijd zouden 18.000 klanten kunnen zijn getroffen. Volgens Bakels concentreren de problemen zich op Orion. Andere producten van Solar Winds zijn veilig, stelt hij.
Details ontbreken
Adfontes heeft als grootste SolarWinds-distributeur van de Benelux sinds maandagochtend een stroom van telefoons te verwerken gekregen. Aanbevolen wordt de door Solar Winds aanbevolen patch te installeren. Dinsdagavond komt een tweede patch beschikbaar. Bakels: ‘Daarmee weet je echter nog niet in hoeverre servers in je netwerkomgeving zijn geraakt.’
Probleem is dat wel in grote lijnen duidelijk is hoe de hack heeft kunnen plaatsvinden maar dat veel details nog ontbreken. Onbekend is wat uiteindelijk het hoofddoel van de hackers was. De aanvallers hebben toegang gehad tot e-mailsystemen. Bij een aantal Amerikaanse ministeries, zoals die van Financiën, Handel en Binnenlandse Veiligheid, is het emailverkeer bespioneerd.
Mogelijk zijn de aanvallers dieper in de systemen gegaan, maar onderzocht wordt hoe ver de penetratie ging. Evenmin staat vast of de hackers nog actief zijn in de getroffen netwerken. Geheime diensten proberen vaak nieuwe routes binnen systemen te vinden, ook al zijn de ‘poorten’ gesloten waar langs ze zijn binnengekomen.
Russen
In Amerika bestaan weinig twijfels over de herkomst van de hackers. Alleen de Russen worden tot een dergelijke sophisticated hack in staat geacht. Naar verluidt zou de Russische geheime dienst SVR, die banden heeft met de beruchte hackersgroep APT 29 of Cozy Bear, achter de aanval zitten.
Solar Winds heeft met zijn software voor het monitoren van netwerken de afgelopen jaren de nodige furore gemaakt. Het bedrijf groeide enorm. Volgens Bakels zijn met name van HP en Oracle veel klanten afgesnoept. Ook in de Benelux kreeg Solar Winds honderden klanten erbij.
Het lijkt me terecht dat klanten de hack vrezen. Op basis van de informatie die nu naar buiten gekomen is kunnen we concluderen dat de hackers op zijn minst toegang gehad moeten hebben tot een source code repository en het build proces om in staat te zijn een module uit te brengen die gesigned is (door SolarWindows). En dat voor langere tijd.
Iedere gebruiker heeft dus momenteel een beheertool (met bijbehorende access) in de eigen netwerken waarvan men maar moet vertrouwen op het feit dat er na de patchrondes van SolarWindows geen backdoors meer in zitten, en vervolgens moet men dan nagaan in de eigen netwerken in hoeverre die backdoor in SolarWinds gebruikt is om andere zaken in de eigen netwerken te plaatsen die daar niet horen.