Wat weten we van de grote hack in de Verenigde Staten?

Cybercrime Computernetwerken in de VS zijn geïnfecteerd met malware die achterdeurtjes opende voor hackers. De werkwijze lijkt Russisch, stellen experts.

Verschillende onderdelen van de Amerikaanse overheid, zoals het ministerie van Financiën, zouden doelwit zijn geweest van een succesvolle cyberaanval.
Verschillende onderdelen van de Amerikaanse overheid, zoals het ministerie van Financiën, zouden doelwit zijn geweest van een succesvolle cyberaanval. Foto Eric Baradat/AFP

Groot alarm bij de digitale poortwachters van Washington. Gebruikers van software van SolarWinds binnen de Amerikaanse overheid moeten die software direct uitschakelen en hun netwerken onderzoeken op sporen van misbruik, waarschuwde het Agentschap voor Cyber- en Infrastructuurveiligheid (CISA) zondag.

Uit onderzoek van het gerenommeerde beveiligingsbedrijf FireEye – dat zelf ook slachtoffer werd van de hack – bleek maandag dat duizenden klanten van SolarWinds via onschuldige ogende software-updates ook kwaadaardige code binnenhaalden, waardoor onder meer gegevens en e-mails konden worden ingezien.

1 Wat weten we inmiddels over de gemelde hack?

SolarWinds, een IT-bedrijf uit Austin in Texas, erkende zondagavond slachtoffer geworden te zijn van een „zeer geavanceerde, handmatige aanval op de logistieke keten” van haar netwerkbeheer- en monitoringssoftware Orion. Zo konden onbekende hackers tussen maart en juni via software-updates ongemerkt hun eigen code verspreiden.

SolarWinds heeft naar eigen zeggen 300.000 klanten wereldwijd, waaronder grote telecombedrijven en het gros van de Fortune 500. Wat de hack saillant maakt, en pas de vijfde dergelijke waarschuwing van de CISA rechtvaardigde, is dat de software ook veel wordt gebruikt door de Amerikaanse overheid, bijvoorbeeld door álle onderdelen van het leger en het Pentagon. „De aanval op het netwerkmanagementproduct van SolarWinds is een onacceptabel risico voor de veiligheid van overheidsnetwerken”, zei waarnemend CISA-directeur Brandon Wales zondag.

Gewaarschuwde autoriteiten hadden tot maandagmiddag om de instructies op te volgen. Volgens The Washington Post werden onder andere de ministeries van Financiën en Economische Zaken doelwit. FireEye zag de hack ook buiten de VS terugkomen elders in Noord-Amerika, in Europa, Azië en het Midden-Oosten. Ook in Nederland wordt de software gebruikt.

2 Wat verspreidden de hackers via SolarWinds?

Via de legitiem ogende updates van Orion verspreidden de hackers een Trojaans paard, dat FireEye ‘Sunburst’ heeft genoemd. Doordat de updates van het vertrouwde bedrijf leken te komen viel het netwerkbeheerders niet op dat ook kwaadaardige code werd binnengesmokkeld.

Dat kwam deels doordat Sunburst zich eerst koest hield en daarna uiterst heimelijk te werk ging. Pas na twee weken opende het programma een achterdeurtje, dat de hackers vervolgens gebruikten als uitvalsbasis om de rest van de systemen aan te vallen. Zulk netwerkverkeer zou normaliter op moeten vallen, maar de hackers hebben veel moeite gedaan om de datastromen op bonafide verkeer van Orion te laten lijken en daarmee te vervlechten, schrijft FireEye.

Via Sunburst konden de hackers bestanden buitmaken, programma's uitvoeren en het netwerk in kaart brengen. Het doel was toegang verkrijgen tot andere machines binnen het bedrijfsnetwerk of data stelen, schrijft FireEye. De aanvallers lieten daarbij volgens het beveiligingsbedrijf weinig sporen na. „Deze dader wil graag weinig malware achterlaten en heeft de voorkeur om met legitieme inlogcodes en externe toegangswegen meer ingangen tot het netwerk van zijn slachtoffers te krijgen.” Hackers hadden bijvoorbeeld bijzondere aandacht voor mails van belangrijk IT-personeel, stelden onderzoekers van Microsoft maandag.

Hoe de aanvallers hun eigen code aan de updates van SolarWinds konden toevoegen is nog niet bekend. Microsoft denkt dat interne distributiesystemen van het Amerikaanse bedrijf eerder al gekraakt werden.

3 Wie zit erachter?

Vanwege zijn finesse vermoedt SolarWinds dat de hack komt van „een buitenlandse mogendheid”. Volgens FireEye is de aanval het werk van „een zeer bekwame dader en was de operatie uitgevoerd met een hoge mate van operationele veiligheid”.

Hackers lieten weinig sporen na. De gehanteerde werkwijze – een doelwit indirect aanvallen via andere software – is het best vergelijkbaar met de Petya-gijzelsoftware die grote delen van de ict-infrastructuur van Oekraïne in 2017 platlegde. Toen werd de boekhoudsoftware M.E. Doc geïnfecteerd. De aanval is toegeschreven aan Rusland.

Ook nu wordt naar Rusland gewezen. The Washington Post noemt de hack „een grote spionagecampagne”. Ingewijden zeggen tegen de krant de de beruchte Russische hackgroep Cozy Bear verantwoordelijk te houden. Cozy Bear, ook wel APT29 (advanced persistent threat) genoemd, verwierf de afgelopen jaren internationale bekendheid met een keur aan opzienbarende hackpogingen in verschillende landen. De groep wordt in verband gebracht met de Russische buitenlandse inlichtingendienst SVR en eerder met veiligheidsdienst FSB.

Lees ook: Wie zijn de Russische cybersoldaten?

Cozy Bear zou onder meer achter de hack op de Amerikaanse Democratische partij in 2016 zitten, waarbij duizenden e-mails werden buitgemaakt en gepubliceerd via Wikileaks. In 2017 probeerde de groep Nederlandse ministeries te hacken.

4 Hoe reageert Rusland?

De Russische ambassade in Washington ontkende maandag elke betrokkenheid. In een verklaring schreef ze dat „Rusland geen offensieve operaties in het cyberdomein” uitvoert en dat „kwaadwillige activiteiten in de informatieruimte in strijd zijn met het Russische buitenlandse beleid”. Kremlin-woordvoerder Dmitri Peskov voegde hieraan toe dat Rusland niets te maken heeft met de hack en het „verkeerd is de Russen meteen de schuld te geven”.