Microsoft-topman: SolarWinds meest geavanceerde aanval ooit gezien
De aanval via de software van SolarWinds is de meest geavanceerde aanval ooit gezien, zo stelt Microsoft-topman Brad Smith. Volgens de president van Microsoft hebben zeker meer dan duizend engineers aan de aanval meegewerkt. Dat liet Smith gisteren tijdens een interview met CBS 60 Minutes weten.
Aanvallers wisten in 2019 toegang tot het netwerk van softwarebedrijf SolarWinds te krijgen. Het bedrijf levert oplossingen waarmee bedrijven en overheden hun it-omgeving kunnen beheren. De aanvallers gebruikten hun toegang om officiële updates voor de Orion-software van SolarWinds van een backdoor te voorzien. Deze besmette updates werden wereldwijd door 18.000 bedrijven, organisaties en overheden geïnstalleerd. Bij een selecte groep slachtoffers werden er via de backdoor aanvullende aanvallen uitgevoerd.
Microsoft heeft volgens Smith vijfhonderd engineers ingezet om de aanval te onderzoeken. De aanval zelf zou door meer dan duizend engineers zijn opgezet, zo stelt de Microsoft-president. Wie erachter de aanval zit kan Smith niet zeggen, maar volgens hem is het duidelijk dat het om een buitenlandse inlichtingendienst gaat. Hoewel de aanval nu is ontdekt is het bijna zeker dat de aanvallers aanvullende backdoors hebben toegevoegd en andere netwerken hebben besmet, ging Smith verder.
De topman noemt de aanval ook roekeloos. "De wereld draait op software. Het draait op informatietechnologie. Maar dat kan het niet met vertrouwen doen als grote overheden de software supply chain op deze manier verstoren en aanvallen."
Dat aantal van 1000 engineers klinkt ook erg hoog.
Dat aantal van 1000 engineers klinkt ook erg hoog.
Ben ik niet met je eens. Vanwege dat de centrale volledig airgapped was moest er physieke toegang verleend worden. Dat maakte het complete verhaal organisatorisch wat complexe maar de backdoor anzich niet. Er was bekend welke hardware er aanwezig was (was ten slotte in duitsland ingekocht) en dat maakte hat maken van de backdoor relatief makkelijk. Hier hebben we niet te maken met een airgapped situatie maar moest de backdoor wel onder de radar actief kunnen zijn. Is vele malen complexer!
Dat aantal van 1000 engineers klinkt ook erg hoog.
Ben ik niet met je eens. Vanwege dat de centrale volledig airgapped was moest er physieke toegang verleend worden. Dat maakte het complete verhaal organisatorisch wat complexe maar de backdoor anzich niet. Er was bekend welke hardware er aanwezig was (was ten slotte in duitsland ingekocht) en dat maakte hat maken van de backdoor relatief makkelijk. Hier hebben we niet te maken met een airgapped situatie maar moest de backdoor wel onder de radar actief kunnen zijn. Is vele malen complexer!
Uh, Stuxnet moest zich ook niet al te hard rondtoeteren.
En moest ook onder de radar blijven bij de centrifuge management/monitoring systemen , en de monitoring data faken zodat niet zichtbaar werd dat er slecht gecentrifugeerd werd.
Er moest uberhaupt uitgevonden worden _dat_ die dingen daar gebruikt werden. Gekocht in Duitsland wil niet zeggen dat duidelijk is wat /waar het gebruikt ging worden. Dat was al een dubieuze export - die blijkbaar herkend was.
Het achterhalen van het Solarwinds systeem landschap lijkt me toch echt _heel veel_ simpeler dan het achterhalen van het systeemlandschap van het Iraanse kernwapenprogramma . Aan de builds is al genoeg te zien over de buildserver(s).
En een Microsoft development/build omgeving is bepaald niet obscuur of moeilijk te repliceren.
Hoe de breach bij Solarwinds gegaan is weten we nog niet - maar een 'verkennende insider' daar plaatsen - gewoon solliciteren met een goed CV en goed werken - is beslist makkelijker dan een insider plaatsen/vinden in een geheim wapenprogramma.
Dat doen we ook , alleen waarschijnlijk niet zo snel bij spullen die "we" zelf gebruiken...
Als gevorderde complot denker kun je inderdaad speculeren dat een geheime dienst iets saboteert waar tig ministeries van het eigen land last van hebben om 'de vijand' te laten denken dat het iemand anders was , ofzo .
De woordvoerder van degeen achter die beslissing? Dan is die uitspraak te begrijpen. R.Hamers wist ook zogenaamd niets van het gebrekkige tegengaan van witwassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
