“Sunburst” kan worden vertaald als “uitbarsting van de zon”. Toen de gelijknamige hackeraanval het Solarwinds-universum trof, had dat enorme gevolgen. Het bedrijf wil nu gewapend zijn tegen soortgelijke tegenspoed.
Brandon Shopp, Vice President Products bij SolarWinds, herinnert zich 12 december 2020 nog goed. Op die dag werd zijn werkgever benaderd door netwerkbeveiligingsbedrijf FireEye over een kwaadaardige code die was ontdekt in het SolarWinds Orion-platform. Het platform wordt gebruikt om IT-omgevingen centraal te bewaken, te analyseren en te beheren.
“Uit ons onderzoek is gebleken dat de hackers zich toegang hebben kunnen verschaffen tot onze softwareontwikkelingsomgeving door gebruik te maken van geavanceerde technieken om onopgemerkt te blijven.” De hackers hadden het eerder gemunt op de Sunburst-malware door deze tijdens het ontwikkelingsproces van het platform in te voegen.
Buitenlandse overheid betrokken?
De achtergrond is nog steeds niet volledig duidelijk, maar zoals Shopp uitwerkt, hadden cybersecurity-experts de overtuiging geuit dat er een buitenlandse overheid achter zat. Samen met forensisch onderzoekers onderzoekt Solarwinds verschillende theorieën over hoe de aanvallers toegang kregen tot de omgeving. “Op dit moment denken we dat de meest waarschijnlijke aanvalsvector het compromitteren van inloggegevens en toegang via een applicatie van een derde partij was, via een kwetsbaarheid die op dat moment nog niet bekend was.”
Onderzoek wordt voortgezet
Het onderzoek is nog gaande. Gezien de complexiteit van de aanvallen en de maatregelen die de daders hebben genomen om de SolarWinds-omgeving te manipuleren en bewijs van hun activiteiten te verwijderen, in combinatie met de grote hoeveelheden log- en andere gegevens die moeten worden geanalyseerd, zal het onderzoek nog minstens enkele weken en misschien wel maanden duren, aldus het bedrijf. Ze leiden misschien niet tot een definitief antwoord, geeft Shopp toe. “
Beveiligingsmaatregelen
Binnen 48 uur nadat we van de aanval hoorden, werden updates voor de getroffen software uitgerold. Intussen werden externe cyberbeveiligingsdeskundigen ingeschakeld om de interne omgeving op lange termijn te beveiligen. Er is aanvullende bescherming tegen bedreigingen en detectiesoftware ingezet.
“Daarnaast worden gecompileerde versies geverifieerd om te controleren of deze overeenkomen met de broncode, en zijn alle SolarWinds-producten ondertekend met nieuwe digitale certificaten, benadrukte Shopp.
“Wij geloven dat samenwerking met cyberbeveiligingsdeskundigen, met de overheid en met het publiek van cruciaal belang is, niet alleen om te reageren op de Sunburst-aanval, maar ook om onze industrie en nationale infrastructuur te beschermen tegen vergelijkbare aanvallen in de toekomst,” zei hij. “We delen onze bevindingen niet alleen met de industrie, maar ook met rechtshandhavingsinstanties, inlichtingendiensten en beleidsmakers over de hele wereld.”
Corporate Responsibility
Het team van SolarWinds werkt ook samen met KPMG en CrowdStrike om meer inzicht te krijgen in deze nieuwe aanval. “We hebben de verantwoordelijke code omgekeerd en konden meer te weten komen over het gereedschap dat in de bouwomgeving werd gebruikt. We hopen dat door de technische details bloot te leggen aan de rest van de industrie, andere bedrijven ze kunnen gebruiken om soortgelijke aanvallen te identificeren en te voorkomen,” beweert Shopp.