Herstellen van de SolarWinds-hack kan 18 maanden duren

uitzicht op het gebouw van het Amerikaanse Capitool

Jorge Acala/Unsplash





Volledig herstellen van de SolarWinds-hack kost de Amerikaanse regering een jaar tot wel 18 maanden, volgens het hoofd van het bureau dat het herstel van Washington leidt.

De hackcampagne tegen Amerikaanse overheidsinstanties en grote bedrijven werd voor het eerst ontdekt in november 2020. Minstens negen federale instanties waren het doelwit, waaronder het Department of Homeland Security en het State Department. De aanvallers, van wie Amerikaanse functionarissen denken dat ze Russisch zijn, misbruikten een product van het Amerikaanse softwarebedrijf SolarWinds om doelen van de overheid en bedrijven te hacken.

Brandon Wales, de waarnemend directeur van CISA, het Amerikaanse Cybersecurity and Infrastructure Agency, zegt dat het tot ver in 2022 zal duren voordat functionarissen de gecompromitteerde overheidsnetwerken volledig hebben beveiligd. Zelfs het volledig begrijpen van de omvang van de schade zal maanden duren.



Ik zou dit niet eenvoudig willen noemen, zegt Wales. Er zijn twee fasen voor de reactie op dit incident. Er is de korte termijn herstelpoging, waarbij we proberen de tegenstander uit het netwerk te verwijderen, de accounts die hij beheert af te sluiten en de toegangspunten af ​​te sluiten die de tegenstander gebruikte om toegang te krijgen tot netwerken. Maar gezien de tijd dat ze zich in deze netwerken bevonden - maanden - zal strategisch herstel tijd vergen.

'Gezien de tijd dat ze zich in deze netwerken bevonden... zal strategisch herstel tijd vergen.'

Brandon Wales, CISA

Wanneer de hackers zo grondig en zo lang zijn geslaagd, kan het antwoord soms een volledige heropbouw zijn. De hackers maakten er een punt van om het vertrouwen in gerichte netwerken te ondermijnen, identiteiten te stelen en de mogelijkheid te verwerven om zich voor te doen als legitieme gebruikers of deze te creëren om vrijelijk toegang te krijgen tot de Microsoft 365- en Azure-accounts van slachtoffers. Door de controle over vertrouwen en identiteit over te nemen, worden de hackers veel moeilijker te volgen.



De meeste agentschappen die door dat niveau van wederopbouw gaan, zullen in de buurt van 12 tot 18 maanden nodig hebben om ervoor te zorgen dat ze de juiste beveiligingen aanbrengen, zegt Wales.

Amerikaanse inlichtingendiensten zeggen dat Russische hackers in 2019 voor het eerst zijn geïnfiltreerd. Verder onderzoek heeft uitgewezen dat de hackers de producten van het bedrijf in maart 2020 begonnen te gebruiken om malware te verspreiden, en hun eerste succesvolle inbreuk op de Amerikaanse federale overheid vond vroeg in de zomer plaats. Dat is een lange tijd om onopgemerkt te blijven - langer dan veel organisaties het soort dure forensische logboeken bijhouden dat u nodig hebt om het niveau van onderzoek te doen dat nodig is om de hackers op te sporen.

SolarWinds Orion, het netwerkbeheerproduct dat het doelwit was, wordt gebruikt door tienduizenden bedrijven en overheidsinstanties. Meer dan 17.000 organisaties hebben de geïnfecteerde achterdeur gedownload. De hackers waren buitengewoon onopvallend en specifiek in hun targeting, daarom duurde het zo lang om ze te pakken te krijgen - en waarom het zo lang duurt om hun volledige impact te begrijpen.



De moeilijkheid om de omvang van de schade aan het licht te brengen, werd vorige week samengevat door Brad Smith, de president van Microsoft, tijdens een hoorzitting van het congres.

Wie weet wat er hier allemaal is gebeurd? hij zei. Op dit moment is de aanvaller de enige die volledig weet wat hij heeft gedaan.

Kevin Mandia, CEO van het beveiligingsbedrijf FireEye, dat de eerste waarschuwingen over de aanval opende, vertelde het Congres dat de hackers stealth boven alles stelden.



Verstoring zou gemakkelijker zijn geweest dan wat ze deden, zei hij. Ze hadden gerichte, gedisciplineerde gegevensdiefstal. Het is gemakkelijker om gewoon alles te verwijderen in een trauma met een stomp geweld en te kijken wat er gebeurt. Ze hebben eigenlijk meer werk verzet dan nodig was om destructief te worden.

'Dit heeft een zilveren randje'

CISA hoorde voor het eerst over een probleem toen FireEye ontdekte dat het was gehackt en het bureau op de hoogte bracht. Het bedrijf werkt regelmatig nauw samen met de Amerikaanse overheid en hoewel het niet wettelijk verplicht was om iemand over de hack te vertellen, deelde het snel nieuws over het compromis met gevoelige bedrijfsnetwerken.

Het was Microsoft die de Amerikaanse regering vertelde dat de federale netwerken waren gecompromitteerd. Het bedrijf deelde die informatie op 11 december met Wales, zei hij in een interview. Microsoft zag hoe hackers inbraken in de Microsoft 365-cloud die door veel overheidsinstanties wordt gebruikt. Een dag later informeerde FireEye CISA over de achterdeur in SolarWinds, een weinig bekend maar extreem wijdverbreid en krachtig hulpmiddel.

Dit gaf aan dat de omvang van de hack enorm zou kunnen zijn. De onderzoekers van CISA werkten de hele vakantie door om agentschappen te helpen bij het jagen op de hackers in hun netwerken.

Deze inspanningen werden nog gecompliceerder omdat Wales nog maar net het agentschap had overgenomen: dagen eerder was voormalig directeur Chris Krebs door Donald Trump ontslagen omdat hij herhaaldelijk desinformatie van het Witte Huis over gestolen verkiezingen had ontkracht.

Nadat Trump de directeur van CISA heeft ontslagen, staat het bureau klaar om nog machtiger te worden Een dramatisch ontslag door tweet verandert weinig aan de tweeledige steun om het de leidende cyberbeveiligingsinstantie van het land te maken.

Terwijl de krantenkoppen over het ontslag van Krebs zich concentreerden op de onmiddellijke impact op de verkiezingsveiligheid, had Wales veel meer in handen.

De nieuwe man die de leiding heeft bij CISA wordt nu geconfronteerd met wat hij omschrijft als het meest complexe en uitdagende hackincident dat het bureau is tegengekomen.

De hack zal vrijwel zeker versnellen de toch al schijnbare opkomst van CISA door haar financiering, autoriteit en steun te vergroten.

CISA heeft onlangs de wettelijke bevoegdheid gekregen om voortdurend te jagen op cyberdreigingen binnen de federale overheid, maar Wales zegt dat het agentschap niet over de middelen en het personeel beschikt om die missie uit te voeren. Hij stelt dat CISA ook eindpuntdetectiesystemen op computers in de hele federale overheid moet kunnen implementeren en beheren om kwaadaardig gedrag te detecteren. Tot slot, wijzend op het feit dat de hackers zich vrij door de Microsoft 365-cloud bewogen, zegt Wales dat CISA moet aandringen op meer zichtbaarheid in de cloudomgeving om cyberspionage in de toekomst te kunnen detecteren.

In het afgelopen jaar hebben aanhangers van CISA erop aangedrongen dat het het leidende cyberbeveiligingsbureau van het land wordt. Een ongekende cyberbeveiligingsramp kan de katalysator blijken te zijn die het nodig heeft.

Dit heeft een zilveren randje, zei Mark Montgomery, die als uitvoerend directeur van de Cyberspace Solarium Commission diende, in een telefoongesprek. Dit is een van de meest significante kwaadaardige cyberacties die ooit tegen de Amerikaanse overheid zijn uitgevoerd. Het verhaal zal nog enkele maanden erger worden naarmate er meer inzicht wordt gegeven in wat er is gebeurd. Dat zal helpen om de inkomende administratie op deze kwestie te concentreren. Ze hebben veel prioriteiten, dus het zou gemakkelijk zijn voor cyber om te verdwalen in de rommel. Dat gaat nu niet gebeuren.

zich verstoppen