Dit is wat u moet weten over de FireEye-hack in de VS
donderdag 17 december 2020
Recent werd bekend dat het Amerikaanse securitybedrijf FireEye is gehackt. Inmiddels lijkt het erop dat dit onderdeel is van een omvangrijke en langdurige cyberspionageoperatie. Zo zijn de hackers ook de netwerken van meerdere Amerikaanse ministeries binnengedrongen. Wat is hier precies aan de hand?
Bron: KPN.com/zakelijk
Wat is er gebeurd bij FireEye?
Begin december maakte FireEye bekend dat het slachtoffer is geworden van een grootschalige hack. Daarbij wisten de aanvallers hacktools van het bedrijf te stelen, welke FireEye zelf gebruikt om de beveiliging van zijn klanten te testen. De hackers kwamen binnen via het injecteren van kwaadaardige code in een update van de Orion-software voor netwerkbeheer- en monitoring van SolarWinds.
Na onderzoek concludeerde FireEye dat hier sprake was van een ‘wereldwijde campagne’ gericht op overheden en bedrijfsleven. Die zou al in het voorjaar zijn begonnen. Hackers verstopten een kwaadaardige code in een software-update voor Orion. Via de malware die daardoor werd geïnstalleerd, kregen ze op afstand toegang tot de netwerken van organisaties.
De hackers gingen zeer voorzichtig te werk. Zo opende de malware, die van FireEye de naam Sunburst heeft gekregen, pas na twee weken een achterdeurtje. Van daaruit konden andere systemen worden aangevallen. Normaal gesproken zou dit netwerkverkeer opvallen, maar het lukte de hackers om de datastromen te laten lijken op legitiem verkeer van Orion. Ook lieten ze weinig sporen na.
Welke andere organisaties zijn getroffen?
De hack bij FireEye blijkt nu slechts het topje van de ijsberg. Eerst kwam aan het licht dat ook de Amerikaanse ministeries van Handel en Financiën zijn gehackt. Inmiddels is duidelijk dat het ministerie van Buitenlandse Zaken en Binnenlandse Veiligheid ook slachtoffer zijn geworden, evenals delen van het ministerie van Defensie en de Nationale Gezondheidsinstituten (NIH).
De totale impact van deze campagne is op het moment van schrijven nog niet te overzien. Bijna alle bedrijven uit de Fortune 500-lijst maken gebruik van producten van SolarWinds om hun netwerk te monitoren. Er zijn volgens FireEye ook infecties vastgesteld in Europa, Azië en het Midden-Oosten. Een hooggeplaatste medewerker van FireEye zegt tegen de New York Times dat vermoedelijk tientallen ‘waardevolle doelwitten’ ook echt zijn gehackt.
Wie zijn de daders?
Volgens Kevin Mandia, de CEO van FireEye, is de aanval het werk van ‘een land met eersteklas aanvalsmogelijkheden’. Veel securityexperts geloven dat Russische staatshackers verantwoordelijk zijn voor de digitale spionage. De werkwijze, waarbij een doelwit indirect wordt aangevallen via andere software, zou hierop duiden. Zowel FireEye als de Amerikaanse overheid wijst echter niet expliciet naar Rusland.
De daders behoren volgens The Washington Post tot de Russische hackersgroep die bekendstaat onder namen als Cozy Bear en APT29. Deze groep wordt in verband gebracht met de SVR, de belangrijkste Russische buitenlandse inlichtingen- en veiligheidsdienst. Dezelfde hackersgroep hackte het Amerikaanse ministerie van Buitenlandse Zaken en de e-mailservers van het Witte Huis tijdens het presidentschap van Barack Obama. Rusland ontkent alle betrokkenheid.
Wat betekent dit verder?
De kwaadaardige update zit in een aantal versies van de Orion-software die tussen maart en juni zijn uitgebracht. Alle Nederlandse bedrijven en overheidsinstanties die gebruikmaken van Orion, doen er verstandig aan zo snel mogelijk te controleren of zij risico lopen. Solarwinds adviseert klanten met klem om de software te updaten naar de nieuwste versie. Ook geeft het bedrijf instructies om te bepalen welke versie een organisatie momenteel gebruikt.
Het Cybersecurity and Infrastructure Agency (CISA) kwam op 13 december al met een urgente waarschuwing. Het Amerikaanse cybersecuritycentrum roept Orion-gebruikers op om hun netwerken te scannen op indicatoren dat ze gehackt zijn en Orion-producten zelfs direct uit te schakelen.
Bezoekers van deze pagina bekeken ook:
Meer Blog en Nieuws
- Nieuwe factuur lay-out voor KPN ÉÉN diensten
- De ultieme koptelefoon voor professioneel kantoorgebruik
- Microsoft Teams uitbreiden met een Contact Center-oplossing
- Tariefswijziging Inmarsat C
- Wat is een datalek en hoe bescherm ik mijzelf ertegen?
- Houd jouw informatie in het VTM klantenportaal actueel
- Wat is Managed Detection and Response (MDR) en waarom is het belangrijk?
