Ten minste twee dozijn techbedrijven waaronder Cisco, VMware, Nvidia en Intel, hebben de besmette SolarWinds-update binnengekregen. Ook Deloitte liep een infectie op. Vanaf maart van dit jaar konden de vermoedelijk Russische staatshackers zich via een backdoor toegang verschaffen.
De vier genoemde technologie-giganten evenals Deloitte bevestigen de aanwezigheid van de gevreesde malware op een aantal van hun systemen. Vooralsnog zijn er geen indicaties dat schade is aangericht of (klant)gegevens in verkeerde handen zijn geraakt. Maar de interne onderzoeken verkeren nog in een pril stadium.
De Wall Street Journal die de malware bij het kwartet bedrijven op het spoor kwam, houdt er rekening mee dat de aanvallers naar technische geheimen op zoek waren. Ook wordt gevreesd dat de hackers in de getroffen systemen stukjes software hebben verstopt die later gevaar kunnen opleveren. Omdat de aanval al maanden geleden begon, kunnen ‘sporen’ zijn uitgewist. Dit bemoeilijkt forensisch onderzoek. De angst bestaat dat de aanvallers zich jarenlang schuil kunnen houden in bedrijfsnetwerken en op een cruciaal moment toeslaan.
Backdoor
Zo’n 18.000 klanten van SolarWinds Orion zijn aangevallen. Ook een aantal Europese bedrijven en overheidsinstellingen heeft de geïnfecteerde SolarWinds Orion-update ingeladen. Deutsche Telekom en Siemens die ook in de Benelux dochters hebben, bevestigen deze software te gebruiken. Tot nog toe ontbreekt het echter aan aanwijzingen dat de hackers ook in hun netwerken actief waren. Verder is bekend dat ING Direct en een ziekenhuis in Nederland klant zijn van SolarWinds. Ook in België zijn er slachtoffers gevallen.
Het Nationaal Cyber Security Centrum (NCSC) heeft in Nederland een dubbele ‘code rood’ (high-high) afgegeven. Gecompromitteerde infrastructuren staan volledig onder controle van kwaadwillenden. Deze hackers zijn in staat om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens. Kortom, aanzienlijke schade is mogelijk.
Het NCSC onderzoekt, samen met relevante organisaties, wat eventuele gevolgen kunnen zijn. Het advies is om de uitgebrachte updates van SolarWinds Orion zo spoedig mogelijk te installeren. Zijn Duitse tegenhanger BSI drukt getroffen bedrijven en overheden op het hart zich niet te beperken tot het installeren van veiligheidspatches. Het is niet voldoende om de ‘backdoor’ te verwijderen. Volgens de BSI moet men ook nagaan of de gevonden kwetsbaarheid is misbruikt en of verdere aanvallen in de it-systemen kunnen worden vastgesteld. Het gevaar is dat de aanvallers via it-dienstverleners in de systemen van klanten terecht kunnen komen.
Russen?
Overigens bestaat er ruim een week nadat de hack openbaar werd, nog altijd grote onduidelijkheid over de omvang van de aanval en de schade. Verschillende security-experts hebben de vrees uitgesproken dat veel meer bedrijven en overheden zijn besmet dan tot nog toe bekend is geworden. Het zou het topje van de ijsberg zijn. Ook is het gissen naar de nationaliteit van de hackers. Gelet op de complexiteit van de hack nemen de meeste Amerikaanse veiligheidsexperts aan dat alleen de Russische geheime dienst SVR en de hackersgroep Cozy Bear tot zo’n geavanceerde spionage-operatie in staat zijn.
Internationaal is inmiddels een grootscheepse samenwerking op gang gekomen om meer inzicht te krijgen in het probleem. Daaraan doen verschillende nationale cybersecurity-centra, security-bedrijven, software-industrie en getroffen organisaties mee. FireEye, het securitybedrijf dat zelf ook slachtoffer werd en de hack bij SolarWinds ontdekte, deelt regelmatig technische details. Microsoft heeft maatregelen genomen om te voorkomen dat de aanval zich verder kan uitbreiden. Vorige week donderdag ontdekte Microsoft, eveneens SolarWinds Orion-gebruiker, malware in haar netwerk. Tot nog toe is echter niet gebleken dat de aanvallers langs die weg weer bij klanten van Microsoft terecht zijn gekomen.