211service.com
Hoe Russische hackers maandenlang de Amerikaanse regering infiltreerden zonder opgemerkt te worden
Het ministerie van Financiën in Washington, DC. Het US Treasury Department' door *rboed* heeft een licentie onder CC BY 2.0
Duizenden bedrijven en overheden racen om te ontdekken of ze zijn getroffen door de Russische hackers die naar verluidt in verschillende Amerikaanse overheidsinstanties zijn geïnfiltreerd. De eerste overtreding, gemeld op 13 december, inclusief de Schatkist, evenals de ministeries van Handel en Binnenlandse Veiligheid. Maar door de heimelijke technieken die de hackers gebruikten, kon het maanden duren om al hun slachtoffers te identificeren en de spyware te verwijderen die ze hadden geïnstalleerd.
Om de inbreuk uit te voeren, braken de hackers eerst in op de systemen van SolarWinds, een Amerikaans softwarebedrijf. Daar plaatsten ze een achterdeur in Orion, een van de producten van het bedrijf, die organisaties gebruiken om enorme interne netwerken van computers te bekijken en te beheren. Gedurende een aantal weken, beginnend in maart, downloadde elke client die naar de nieuwste versie van Orion had geüpdatet - digitaal ondertekend door SolarWinds en daarom schijnbaar legitiem - onbewust de gecompromitteerde software, waardoor de hackers toegang kregen tot hun systemen.
SolarWinds heeft ongeveer 300.000 klanten over de hele wereld, waaronder de meeste van de Fortune 500 en vele overheden. in een nieuwe indienen met de Securities and Exchange Commission, zei het bedrijf dat minder dan 18.000 organisaties ooit de gecompromitteerde update hebben gedownload. (SolarWinds zei dat het nog niet duidelijk is hoeveel van die systemen daadwerkelijk zijn gehackt.) Standaard cyberbeveiligingspraktijken zijn om je software up-to-date te houden - dus ironisch genoeg werden de meeste SolarWinds-klanten beschermd omdat ze dat advies niet hadden opgevolgd.
De hackers waren buitengewoon slim en strategisch, zegt Greg Touhill, een voormalige federale chief information security officer. Zelfs toen ze eenmaal toegang hadden gekregen via de achterdeur in Orion, bekend als Sunburst, bewogen ze zich langzaam en doelbewust. In plaats van in veel systemen tegelijk te infiltreren, wat gemakkelijk argwaan had kunnen wekken, concentreerden ze zich op een klein aantal geselecteerde doelen, volgens een verslag doen van van het beveiligingsbedrijf FireEye.
Sunburst bleef tot twee volle weken stil voordat het wakker werd en begon te communiceren met de hackers, aldus het rapport. De malware vermomt zijn netwerkverkeer als het Orion Improvement Program'' en slaat gegevens op in legitieme bestanden om er beter in op te gaan. Het zoekt ook naar beveiligings- en antivirusprogramma's op de geïnfecteerde machine om ze te vermijden.
Om hun sporen verder uit te wissen, gebruikten de hackers computers en netwerken om slechts één keer met de achterdeur van een bepaald doelwit te communiceren - het equivalent van het gebruik van een brandertelefoon voor een ongeoorloofd gesprek. Ze maakten beperkt gebruik van malware omdat het relatief gemakkelijk te herkennen is; in plaats daarvan, toen ze eenmaal toegang hadden via de achterdeur, hadden ze de neiging om te kiezen voor de stillere route door echte gestolen inloggegevens te gebruiken om op afstand toegang te krijgen tot de machines van een slachtoffer. En de malware die ze gebruikten, hergebruikt geen code, waardoor de spionage moeilijker te vangen was omdat beveiligingsprogramma's jagen op code die bij eerdere hacks is opgedoken.
Maanden onopgemerkt
Tekenen van de inbraakcampagne dateren van maart, volgens beveiligingsrapporten van Microsoft en FireEye, die een gerelateerd inbreuk van zijn eigen netwerken vorige week. Dat betekent dat elke organisatie die vermoedt dat het een doelwit was, nu minstens 10 maanden aan systeemlogboeken moet doorzoeken op zoek naar verdachte activiteiten - een taak die de capaciteit van veel beveiligingsteams te boven gaat.
Verwant verhaal
De Russische hackers die zich in 2016 bemoeiden, werden gespot met het oog op de Amerikaanse verkiezingen van 2020 Rusland, China en Iran zijn betrapt op het uitvoeren van cyberspionage in verband met de Amerikaanse presidentiële race.Om organisaties te helpen erachter te komen of hun systemen zijn gehackt, hebben FireEye en Microsoft een lange lijst met indicatoren van compromis gepubliceerd: forensische gegevens die kunnen wijzen op kwaadwillende activiteiten. De indicatoren omvatten de aanwezigheid van Sunburst zelf, evenals enkele IP-adressen die de computers en netwerken identificeren die de hackers gebruikten om ermee te communiceren. Als een team een van deze IP-adressen in zijn netwerklogboeken vindt, is dat een echt teken van slecht nieuws. Maar aangezien de hackers elk adres maar één keer hebben gebruikt, is hun afwezigheid geen garantie voor veiligheid. De ontdekking dat ze zich op een netwerk bevinden, betekent ook niet dat het gemakkelijk is om ze met succes uit te zetten, aangezien ze het netwerk kunnen afspeuren naar nieuwe schuilplaatsen.
De vermoedelijke hackers zijn van de Russische SVR, de belangrijkste buitenlandse inlichtingendienst van het land. Ze staan afwisselend bekend als Cozy Bear en APT29 en hebben een lange lijst met inbreuken samengesteld, waaronder de hacken van het Democratisch Nationaal Comité in 2016. Rusland ontkent betrokkenheid.
Het heeft hen de mogelijkheid gegeven om via een achterdeur toegang te krijgen tot grote netwerken, zegt Touhill, die nu president is van Appgate Federal Group, een beveiligd infrastructuurbedrijf. Ze hebben de mogelijkheid om daar te zitten, al het verkeer op te slurpen, het te analyseren. We moeten goed opletten waar deze acteurs nog meer naar op zoek zijn? Waar kunnen ze anders zijn? Waar kunnen ze nog meer op de loer liggen? Als ze toegang hebben, geven ze die niet zomaar op.