image

FireEye: inbraak ontdekt na verdachte vpn-inlog vanaf nieuw apparaat

donderdag 17 december 2020, 10:35 door Redactie, 1 reacties

De inbraak op het netwerk van securitybedrijf FireEye kwam aan het licht nadat de aanvallers vanaf een nieuw apparaat op het vpn probeerden in te loggen, zo heeft het bedrijf laten weten. Vorige week meldde FireEye dat aanvallers toegang tot de systemen hadden gekregen en allerlei scripts, scanners en tools hadden buitgemaakt die het bedrijf gebruikt om de it-beveiliging van klanten te testen.

De inbraak bij FireEye was mogelijk door een backdoor in de software van SolarWinds. Het lukte aanvallers om updates voor het Orion Platform van SolarWinds ongemerkt van een backdoor te voorzien. Wereldwijd installeerden 18.000 bedrijven en organisaties de besmette updates, waaronder FireEye. Zo kregen de aanvallers toegang tot het netwerk van het securitybedrijf. Dat ontdekte de inbraak nadat er werd geprobeerd om op het vpn in te loggen.

"We ontdekten het incident omdat we een verdachte inlogpoging op onze vpn-oplossing zagen", zegt Charles Carmakal, Strategic Services CTO van FireEye, tegenover Politico. "De aanvaller wist een apparaat aan onze multifactor-authenticatieoplossing toe te voegen, en dat genereerde een waarschuwing, die we verder onderzochten." Berichtgeving dat een medewerker in een phishingaanval is getrapt, zoals bronnen aan Politico laten weten, is volgens het securitybedrijf onjuist.

Hoelang de aanvallers toegang tot het netwerk hadden voordat FireEye het opmerkte is niet bekendgemaakt. Door het onderzoek van het securitybedrijf bleek uiteindelijk dat de aanvallers via SolarWinds waren binnengekomen, waarop deze week een waarschuwing van zowel SolarWinds als FireEye volgde.

Reacties (1)
17-12-2020, 13:23 door Anoniem
Voormalig Homeland Security Advisor Thomas P. Bossert beschrijft in een opiniestuk in de New York Times de hacks van FireEye en SolarWinds als een supply chain attack die vele overheden en bedrijven kan raken. Er zouden wel 18.000 netwerken gecompromitteerd kunnen zijn, waaronder alle federale overheden en de meeste fortune-500-bedrijven, op een manier die zowel zeer moelijk te detecteren als zeer moeilijk te verwijderen zou zijn. Hij noemt de Russen als vermoedelijke daders, en stelt dat het aanpakken hiervan neerkomt op het compleet vervangen van grote delen van de IT-infrastuctuur, geïsoleerd van de mogelijk besmette netwerken, terwijl de geraakte organisaties operationeel blijven.
https://www.nytimes.com/2020/12/16/opinion/fireeye-solarwinds-russia-hack.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.