Microsoft heeft de Russische inlichtingendienst SVR beschuldigd van inbraken bij zeker veertien ict-leveranciers, waaronder cloudleveranciers, om zo supplychain-aanvallen op hun klanten te kunnen uitvoeren. De SVR wordt onder andere verantwoordelijk gehouden voor de aanval op softwarebedrijf SolarWinds. Daarbij werden officiële SolarWinds-updates voorzien van een backdoor, waardoor er toegang tot systemen van klanten kon worden verkregen.
Volgens Microsoft probeert de SVR deze aanpak te herhalen met aanvallen op ict-leveranciers die een rol in de logistieke it-keten vervullen. Sinds mei heeft het techbedrijf meer dan honderdveertig leveranciers gewaarschuwd dat ze doelwit van de SVR waren. Het gaat dan om leveranciers en serviceproviders die clouddiensten en andere technologieën voor hun klanten aanpassen, uitrollen en beheren. In zeker veertien gevallen waren de aanvallers succesvol en werden systemen van resellers en serviceproviders gecompromitteerd.
Microsoft zegt de aanvallen in een vroeg stadium te hebben ontdekt en daarom te hebben besloten details te delen, om te voorkomen dat de aanvallers meer succes boeken. De aanvallen op de ict-leveranciers zijn onderdeel van een grotere aanvalscampagne. Tussen 1 juli en 19 oktober waarschuwde Microsoft in totaal 609 klanten dat ze bijna 23.000 keer door de SVR waren aangevallen. Slechts een handvol aanvallen waren succesvol, aldus he techbedrijf.
Microsoft benadrukt dat de Russische inlichtingendienst deze zomer zeer actief was. Zo gaf het in vergelijking de afgelopen drie jaar ruim 20.000 waarschuwingen voor aanvallen door inlichtingendiensten van alle landen. "Deze recente activiteit is weer een aanwijzing dat Rusland probeert om voor langere tijd systemische toegang tot verschillende onderdelen in de it-supply chain te verkrijgen, om zo interessante doelwitten voor de Russische overheid nu en in de toekomst te kunnen surveilleren", zegt Microsofts Tom Burt.
Bij de aanvallen tegen ict-leveranciers en serviceproviders werd er geen gebruikgemaakt van kwetsbaarheden in software, maar bekende technieken zoals phishing en password spraying om zo inloggegevens te kunnen stelen. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.
Naar aanleiding van de aanvallen zegt Microsoft verschillende beveiligingsmaatregelen te zullen doorvoeren, met name voor technologiepartners in de eigen supply chain. Zo worden nieuwe features getest waarmee organisaties bijvoorbeeld de toegang van ict-leveranciers fijner kunnen afstellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.