Minstens 250 bedrijven en overheidsinstellingen in de Verenigde Staten zijn slachtoffer van de SolarWinds-hack. Dat is een veel groter aantal dan eerst werd aangenomen. Tot die conclusie komt de New York Times dat zich baseert op interviews met hoge ambtenaren die de digitale kraak onderzoeken.
Aanvankelijk gingen de onderzoekers uit van slechts een paar dozijn overheidsinstellingen en bedrijven die door de hack getroffen waren. De kwestie gaat veel verder dan dat, zo blijkt nu. Er zouden zeker 250 slachtoffers zijn. ‘Dit ziet er veel, veel erger uit dan ik eerst vreesde’, zegt de democratische senator Mark Warner uit Virginia en lid van de senaatscommissie die zich met veiligheid bezighoudt. ‘De omvang ervan blijft zich uitbreiden. Het is duidelijk dat de regering van de Verenigde Staten het gemist heeft.’
Wat veel ambtenaren ongerust maakt, is dat geen enkele overheidsorganisatie de hack heeft opgemerkt. Het was uiteindelijk het privébedrijf FireEye dat de kat de bel aanbond. ‘Als FireEye niet naar voren was gekomen, ben ik er niet zeker van dat we ons er tot op de dag van vandaag volledig van bewust zouden zijn’, aldus Warner.
Een van de redenen waarom de hack zo lang verborgen kon blijven, is allicht omdat er Amerikaanse servers zijn gebruikt om de aanval op te zetten. Volgens Amerikaanse wetten mag de Amerikaanse geheime dienst National Security Agency immers geen netwerken onderzoeken die zich binnen Amerikaanse landsgrenzen bevinden.
Oost-Europa
Maar ook SolarWinds zelf heeft boter op het hoofd, aldus de New York Times. Het bedrijf zou van veiligheid geen prioriteit maken, ook al wordt zijn software door belangrijke nationale klanten gebruikt. Door al te veel focus op kostenbesparingen te leggen, werd de cyberveiligheid verwaarloosd, is het vermoeden. SolarWinds had bijvoorbeeld satellietkantoren in Tsjechië, Polen en Wit-Rusland waar aan de Orion-software werd gewerkt. Veel klanten bleken tot voor kort geen idee te hebben dat de gebruikte software grotendeels in Oost-Europa werd onderhouden.
Wie achter de kraak zit, is nog niet bevestigd. Veel experts wijzen naar Rusland en gaan ervan uit dat de kraak werd opgezet door de hackersgroep Cozy Bear of APT29. Die wordt ervan verdacht gelieerd te zijn aan de Russische buitenlandse veiligheidsdiensten.
De kraak kon plaatsvinden door updates van SolarWinds Orion-software (voor het beheren van netwerken) te besmetten met kwaadaardige code. Onder meer VMWare, Microsoft, Belkin en Nvidia zijn door de hack getroffen. Ook in de Benelux zouden tientallen bedrijven de software gebruiken.
Microsoft heeft toegegeven dat bepaalde broncode van zijn software door de hackers is ingekeken. Over welke code het precies gaat, liet het bedrijf in het midden. Volgens Microsoft zou het risico hiervan beperkt zijn. Microsoft gaat er, als veiligheidsmaatregel, van uit dat zijn code sowieso door kwaadwillenden is in te zien. De veiligheid van zijn producten hangt niet af van het feit of iemand de broncode heeft gezien, maakt Microsoft zich sterk.