solarwind hackWaren het de Russen die achter misschien wel de grootste hack van 2020 zitten? En wat willen de aanvallers eigenlijk die de Orion-software hebben geïnfiltreerd? Over de hack op SolarWinds is nog steeds veel onbekend, maar de impact lijkt desondanks groot.

Grote kans dat je tot dit weekend nog nooit had gehoord van het bedrijf SolarWinds. En als je het beveiligingsnieuws niet op de voet volgt zegt de naam je misschien nog steeds niks. Maar toch is het Amerikaanse netwerkbedrijf nu de spil van een van de nu al meest notoire hacks in de geschiedenis. Mogelijk krijgt dat nog een heel lang staartje.

SolarWinds is een relatief klein bedrijf uit de Texaanse stad Austin, maar wel een met veel invloed. SolarWinds maakt software om netwerken te monitoren, en is bij klanten vooral populair omdat het 'een totaaloplossing biedt', zoals dat zo mooi heet. De software kan bijvoorbeeld netwerkverkeer monitoren, maar biedt ook databasemanagement en serverbeheer. Het is daarom vooral populair in bedrijven met grote ict-netwerken. Hoewel SolarWinds veel verschillende softwarepakketten heeft is er een pakket dat het kroonjuweel van het bedrijf is: Orion.

SolarWinds kwam maandagochtend in het nieuws: de Orion-software is gehackt om binnen te dringen in de netwerken van een aantal belangrijke Amerikaanse overheidsinstellingen. De hack lijkt erg geavanceerd te zijn en in het eerste geval op spionage te zijn gericht. Wat weten we er nu precies van?

De eerste berichten over de hack kwamen begin deze week naar buiten via Reuters. Kort daarna stuurde het Amerikaanse Cybersecurity and Infrastructure Agency een zeldzame waarschuwing naar bedrijven over een kwetsbaarheid in Orion-producten. In Nederland verstuurde het Nationaal Cyber Security Centrum dezelfde waarschuwing. SolarWinds plaatste zelf een security advisory. Maar de bal kwam pas echt aan het rollen toen beveiligingsbedrijf FireEye een uitgebreide analyse schreef van de malware. Het bedrijf werd vorige week zelf slachtoffer van een hack, waarvan nu blijkt dat het via Orion gebeurde.

De hack

FireEye beschrijft een geavanceerde aanval waarbij de daders vooral veel aandacht besteden aan het onopgemerkt blijven. De achterdeur wordt geplaatst via een specifieke download die met de update van Orion werd meegeïnstalleerd. SolarWinds.Orion.Core.BusinessLayer is een dll met een signature die rechtstreeks van de Orion-software zelf af komt, zodat het niet gedetecteerd wordt als malware. Die dll, die FireEye SunBurst noemt, legt een http-verbinding naar een externe command-and-control-server. Die malware doet de eerste twee weken niks, maar opent daarna pas de verbinding. Er zijn meerdere van die dll's van een certificaat voorzien; dat gebeurde tussen maart en mei van dit jaar. Daarna werden ze tussen maart en juli in een update voor Orion geïnstalleerd.

NCSC-waarschuwing SolarWinds

De malware legt verbinding naar een subdomein van avsvmcloud.com. Die is inmiddels in bezit van Microsoft, blijkt uit een whois-lookup. Microsoft heeft eerder deze week al aangegeven dat Defender de SolarWinds-hack inmiddels kan detecteren.

De aanvallers gebruiken twee soorten malware als ze eenmaal binnen in het systeem zitten. Dat is een tot voorheen onbekende malware genaamd Teardrop, dat een payload binnenhaalt. Die payload is Beacon, een onderdeel van aanvalsimulatiesoftware Cobalt Strike. De aanvallers hebben Beacon aangepast om een brug te openen tussen de c&c-server en de malware zelf.

Volgens FireEye gebruiken de aanvallers verschillende opvallende technieken om onopgemerkt te blijven. Zo gebruikte de malware alleen ip-adressen uit het land waar het slachtoffer zich bevond, en gebruikten ze altijd credentials om door het netwerk te bewegen die anders waren dan de credentials om toegang te krijgen.

Wat kan deze malware?

Solarwinds dashboard

De aard van de Orion-software maakt de hack extra heftig. De tool heeft diepgaande toegang tot een netwerk. Als bedrijven clouddiensten als AWS of Azure gebruiken heeft Orion toegang tot api-sleutels, bij routers en switches kunnen credentials zijn gelekt als die in plaintext stonden opgeslagen - iets dat helaas maar al te vaak voorkomt. Daarvoor waarschuwen ook andere beveiligingsexperts zoals Rob Fuller. Hij zegt wel in een blogpost dat het heel moeilijk is toegang tot die credentials te krijgen omdat SolarWinds veel moeite doet die te obfusceren, te verbergen en te versleutelen. Desondanks zijn er simpele tools beschikbaar die het mogelijk maken die wachtwoorden terug te krijgen.

Daarnaast maakt Orion ook inzichtelijk hoe een netwerkinfrastructuur is opgebouwd en dat maakt het weer mogelijk er doorheen te bewegen. SolarWinds zegt dat de nieuwe update de backdoor sluit, maar erkent dat dat slechts een deel van het probleem oplost. Eenmaal binnen in een netwerk kunnen de aanvallers zich er horizontaal doorheen bewegen en zich daar extra toegang verschaffen, iets dat het bedrijf ook erkent in een faq.

SolarWinds waarschuwt bedrijven ook om goed op verkeer te letten dat vanaf Orion-servers direct het internet op gaat, want dat kan een indicator of compromise zijn. Als de hackers echter vanaf een andere plek in het netwerk een connectie hebben geopend ligt het buiten SolarWinds macht daar iets aan te doen. Het bedrijf waarschuwt in dat geval om aan standaard securitypraktijken te doen zoals event-monitoring en het bekijken van toegangslogs.

Hoe lang was de malware actief?

De hackers konden de backdoor openzetten via patches die tussen maart en juli 2020 werden verstuurd door SolarWinds. Maar een ander beveiligingsbedrijf, Volexity, ontdekte de kwetsbaarheid al eerder. Dat gebeurde in juni en juli van dit jaar, schrijft het in een blogpost. Nog eerder, eind 2019, zouden hackers al zijn binnengedrongen bij een Amerikaanse denktank. Volexity noemt die groep Dark Halo, en zegt dat het om dezelfde groep gaat als die nu SolarWinds heeft gehackt. De groep zou de denktank in drie gevallen hebben aangevallen, en deze zomer zou dat via Orion zijn gebeurd.

De eerdere bevindingen werpen ook meer licht op de modus operandi van de aanvallers. Die wisten bij eerdere hacks bijvoorbeeld tweestapsverificatie van gebruikers te omzeilen. Het ging specifiek om een mfa-oplossing van beveiligingsbedrijf Duo, al zat de kwetsbaarheid niet in de implementatie of software van Duo zelf. De aanvallers vielen Outlook Web App aan, en deden daarvoor eerst een memory dump van de betreffende server. Daar wisten ze een akey van Duo's 2fa te achterhalen.

Volexity zegt dat het in juli van dit jaar zag dat hackers bij een klant binnendrongen via SolarWinds Orion-software. Ook bij die aanval wisten ze dumps te maken van inboxen van specifieke gebruikers in de organisatie.

Dat is de eerste keer dat een bedrijf concreet zegt wat er precies tijdens de aanval werd gedaan. FireEye vertelt vooralsnog alleen dát criminelen zijn binnengedrongen, maar de grote vraag blijft openstaan. Waarom doen de hackers dit? Wat is hun motivatie?

Het is niet de eerste keer dat hackers een supply-chain-aanval uitvoeren. In 2017 infiltreerden Russische staatshackers een Oekraïens boekhoudbedrijf genaamd Intellect Service, dat de software MeDoc maakt. Op die manier wisten de hackers de destructieve ransomware NotPetya te verspreiden.

NotPetya
NotPetya was vooral destructieve malware.

Maar behalve het uitvoeren van een supply-chain-aanval is het nog grotendeels onduidelijk wat de aanvallers precies willen. Gezien de bedrijven en instellingen die op dit moment getroffen zijn lijkt spionage van gevoelige documenten meer voor de hand liggen dan destructiemalware in te zetten, maar dat is vooralsnog speculatie.

Wie heeft het gedaan?

Waren het wel de Russen? Of toch een ander land of juist een goed georganiseerde criminele bende? Al snel na de hack ging het over de eerste groep, maar ook in dit geval geldt dat het wat gecompliceerder ligt.

Op dit moment zijn de enige aanwijzingen dat Rusland achter de hack zit afkomstig van drie anonieme bronnen van Reuters die als eerste over de hack berichtte. Dat zouden bronnen zijn die bij het onderzoek betrokken waren. De bronnen zeggen tegen Reuters dat in het onderzoek 'geloofd wordt dat Rusland verantwoordelijk is'. Dat is op dit moment dus ook binnen de Amerikaanse overheid geen zekerheid, maar slechts nog de theorie. Ook noemt bijvoorbeeld de Cybersecurity and Infrastructure Security Agency Rusland niet specifiek.

SolarWinds zegt zelf dat het 'geadviseerd is dat de aanval waarschijnlijk door een land is uitgevoerd'. Het is niet bekend waar die melding in de eerste plaats vandaan komt; van FireEye of de Amerikaanse autoriteiten. Voorlopig lijkt de vinger dus alleen vanuit media naar Rusland te wijzen.

FireEye noemt ook geen specifiek land. Het geeft bij de attributie slechts de naam UNC2452 aan de groep, maar die heeft het bedrijf dus zelf verzonnen. De bronnen van Reuters en de Washington Post noemen APT29 als dader. Die groep, die ook wel Cozy Bear wordt genoemd, is gelieerd is aan de Russische inlichtingendiensten.

Wie is getroffen?

SolarWinds customers

Hoewel het bedrijf SolarWinds geen heel bekende naam is is het bedrijf wel invloedrijk. Dat zie je niet alleen aan het aantal klanten, dat SolarWinds op zo'n 300.000 schat - alleen is opvallend genoeg de pagina met klanten verwijderd van de site. Via de Wayback Machine is dat nog wel terug te zien, inclusief een lijst met prominente bedrijven die SolarWinds als klant mocht rekenen. "Meer dan 425" van de 500 invloedrijkste bedrijven uit Amerika, de tien grootste telecomproviders in Amerika, de vijf takken van het Amerikaanse leger, de vijf grootste accountantsbedrijven, honderden universiteiten en hogescholen wereldwijd, NASA en heel veel Amerikaanse overheidsinstellingen.

SolarWinds zegt in een melding aan de Securities and Exchange Commission dat '18.000 klanten kwetsbaar zijn voor de aanval'. Dat betekent dat dat het aantal klanten is dat nog op de versies zitten die tussen maart en juli zijn uitgebracht.

Een belangrijke nuance is op welke versie van de software de rest van de klanten zit. Het is niet bekend of dat meer recente versies zijn, die volgens SolarWinds niet kwetsbaar zijn, of juist nog oudere versies. Van die laatste is niet bekend dat er een backdoor in zit en dat lijkt op basis van de huidige kennis ook niet aannemelijk, maar het is ook niet uit te sluiten.

Nederland en België

En dan is het natuurlijk nog de grote vraag of de hack ook in Nederland en België heeft plaatsgevonden. Vooralsnog zijn daar geen aanwijzingen voor. Wel zijn er zeker enkele honderden bedrijven in de twee landen die op dit moment nog gebruik maken van de geïnfecteerde versies van Orion, stelt de grootste Nederlandse SolarWinds-distributeur tegen Tweakers. Dat betekent niet dat ze ook getroffen zijn door de hack zelf. Onder de klanten van het bedrijf bevinden zich veel ziekenhuizen en Nederlandse gemeenten, maar ook Dela, Interpolis en ING.

De hack lijkt zich dan ook voornamelijk nog te richten op Amerikaanse instellingen, en dan specifiek overheden en geen bedrijven. Maar aangezien er nog zoveel onbekend is over de hack blijft het afwachten. En patchen.

Bron: Security.nl