Recent werd bekend dat het Amerikaanse securitybedrijf FireEye is gehackt. Inmiddels lijkt het erop dat dit onderdeel is van een omvangrijke en langdurige cyberspionageoperatie. Zo zijn de hackers ook de netwerken van meerdere Amerikaanse ministeries binnengedrongen. Wat is hier precies aan de hand? En wat betekent dit voor Nederlandse organisaties?
Wat is er gebeurd bij FireEye?
Begin december maakte FireEye bekend dat het slachtoffer is geworden van een grootschalige hack. Daarbij wisten de aanvallers hacktools van het bedrijf te stelen. FireEye gebruikt deze tools om de beveiliging van zijn klanten te testen. De hackers kwamen binnen via het injecteren van kwaadaardige code in een update van de Orion-software van SolarWinds. Dit is software voor netwerkbeheer- en monitoring. Vooral bedrijven met grote netwerkinfrastructuren maken gebruik van Orion.
FireEye voerde een onderzoek uit naar de hack en concludeerde dat hier sprake was van een ‘wereldwijde campagne’ gericht op overheden en het bedrijfsleven. Die zou al in het voorjaar zijn begonnen. Hackers verstopten een kwaadaardige code in een software-update voor Orion. Via de malware die daardoor werd geïnstalleerd, kregen ze op afstand toegang tot het netwerk van de gehackte organisaties. Ongeveer 18.000 klanten zouden de trojan hebben ontvangen via het updateproces.
De hackers gingen zeer voorzichtig te werk. Zo opende de malware, die van FireEye de naam Sunburst heeft gekregen, pas na twee weken een achterdeurtje. Van daaruit konden andere systemen worden aangevallen. Normaal gesproken zou dit netwerkverkeer opvallen, maar het lukte de hackers om de datastromen te laten lijken op legitiem verkeer van Orion. Ook lieten ze weinig sporen na.
Welke andere organisaties zijn getroffen?
De hack bij FireEye blijkt nu slechts het topje van de ijsberg. Eerst kwam aan het licht dat ook de Amerikaanse ministeries van Handel en Financiën zijn gehackt. Inmiddels is duidelijk dat het ministerie van Buitenlandse Zaken en Binnenlandse Veiligheid ook slachtoffer zijn geworden, evenals delen van het ministerie van Defensie en de Nationale Gezondheidsinstituten (NIH).
De totale impact van deze campagne is op het moment van schrijven nog niet te overzien. Bijna alle bedrijven uit de Fortune 500-lijst maken gebruik van producten van SolarWinds om hun netwerk te monitoren. Volgens de New York Times geldt dat ook voor Alamos National Laboratory, waar nucleaire wapens worden ontwikkeld, en grote defensieleveranciers zoals Boeing.
Er zijn volgens FireEye ook infecties met de malware vastgesteld in Europa, Azië en het Midden-Oosten, meldt Associated Press. Maar een besmetting betekent niet dat een netwerk daadwerkelijk geïnfiltreerd is. Daarvoor zou ‘zorgvuldige planning en handmatige interactie’ nodig zijn. Een hooggeplaatste medewerker van FireEye zegt tegen de New York Times dat vermoedelijk tientallen ‘waardevolle doelwitten’ ook echt zijn gehackt.
Wie zijn de daders?
Volgens Kevin Mandia, de CEO van FireEye, is de aanval het werk van ‘een land met eersteklas aanvalsmogelijkheden’. Veel securityexperts geloven dat Russische staatshackers verantwoordelijk zijn voor de digitale spionage. De werkwijze, waarbij een doelwit indirect wordt aangevallen via andere software, zou hierop duiden. Zowel FireEye als de Amerikaanse overheid wijst echter niet expliciet naar Rusland.
De daders behoren volgens The Washington Post tot de Russische hackersgroep die bekendstaat onder namen als Cozy Bear en APT29. Deze groep wordt in verband gebracht met de SVR, de belangrijkste Russische buitenlandse inlichtingen- en veiligheidsdienst. Dezelfde hackersgroep hackte het Amerikaanse ministerie van Buitenlandse Zaken en de e-mailservers van het Witte Huis tijdens het presidentschap van Barack Obama.
Rusland ontkent alle betrokkenheid. In een verklaring op Facebook stelt de Russische ambassade in de VS dat de aantijgingen nergens op gebaseerd zijn. Rusland zou zelfs helemaal geen cyberaanvallen uitvoeren. Dergelijke activiteiten zouden botsen met de nationale belangen en het buitenlandbeleid van Rusland.
Wat betekent dit voor Nederlandse organisaties?
Alle Nederlandse bedrijven en overheidsinstanties die gebruikmaken van Orion, doen er verstandig aan zo snel mogelijk te controleren of zij risico lopen. De kwaadaardige update zit in een aantal versies van de Orion-software die tussen maart en juni zijn uitgebracht. Solarwinds adviseert klanten met klem om de software te updaten naar de nieuwste versie. Ook geeft het bedrijf instructies om te bepalen welke versie een organisatie momenteel gebruikt.
Het Cybersecurity and Infrastructure Agency (CISA) kwam op 13 december al met een urgente waarschuwing. Het Amerikaanse cybersecuritycentrum roept Orion-gebruikers op om hun netwerken te scannen op indicatoren dat ze gehackt zijn en Orion-producten zelfs direct uit te schakelen.