Ongeveer een derde van de slachtoffers van de recente SolarWinds-aanval met malware gebruikten helemaal niet de getroffen Orion-software van het bedrijf. Dit blijkt uit ronderzoek van de US Cybersecurity and Infrastructure Agency (CISA), schrijft The Wall Street Journal.
Uit het onderzoek van de cybersecurity-toezichthouder van de Amerikaanse overheid blijkt dat ongeveer 30 procent van de door getroffen bedrijven helemaal geen Orion-software gebruikte.
De cybersecurityspecialisten van de Amerikaanse overheid constateerden dat veel bedrijven juist getroffen zijn door andere aanvalsvectors, waarbij de hackers een grote creativiteit aan de dag legden. Veel aanvallen, die waarschijnlijk nu onterecht aan SolarWinds worden toegeschreven, werden uitgevoerd door het bestoken met wachtwoorden van individuele email-accounts bij bedrijven. Deze, op goed geluk gekraakte email-accounts, dienden vervolgens om met verschillende escalatie- en authenticatie-aanvallen bepaalde kwetsbaarheden in de clouddiensten van Microsoft aan te vallen.
Voorbeeld CrowdStrike
Een voorbeeld van deze ATP-aanvallen werd naar buiten gebracht door de eveneens in de SolarWinds-aanval aangevallen securityspecialist CrowdStrike. De hackers probeerden, niet-succesvol, de email van dit bedrijf te lezen via een gecompromitteerde account van een Microsoft reseller waarmee de securityspecialist had gewerkt.
Volgens de zakenkrant onderzoekt SolarWinds nu of deze kwetsbaarheden van de Microsoft clouddiensten de eerste aanvalsvector op het bedrijf waren.
Reactie Microsoft
In een reactie op de SolarWinds-aanval, heeft Microsoft bevestigd dat hackers toegang kregen tot het eigen netwerk en interne source code inzagen, maar dat er geen enkele indicatie bestaat of zij hiermee andere partijen hebben aangevallen.
De techgigant ziet de SolarWinds-aanval wel als een voorloper van meer onheil en niet als een geïsoleerd incident. Het waarschuwt klanten dan ook dat dit soort intelligente en zeer geavanceerde aanvallen de nieuwe norm zullen gaan worden.
1 uur geleden
