Hoe erg is de hack die Amerikaanse instanties als doel had?

Overheden en grote bedrijven wereldwijd proberen te onderzoeken of ook zij slachtoffer zijn van een wereldwijde cyberspionagecampagne die meerdere Amerikaanse overheidsinstanties heeft binnengedrongen en een gemeenschappelijk softwareproduct betrof dat door duizenden organisaties wordt gebruikt. Rusland, de hoofdverdachte, ontkent betrokkenheid. Cybersecurityonderzoekers zeiden dat de impact van de hack veel verder reikt dan de getroffen Amerikaanse instanties, waaronder de ministeries van Financiën en Handel, hoewel zij niet hebben bekendgemaakt welke bedrijven of andere overheden het doelwit waren.
Wat is er gebeurd?
De hack begon al in maart, toen kwaadaardige code werd gesmokkeld in updates van populaire software die computernetwerken van bedrijven en overheden monitort. De malware, die een product van het Amerikaanse bedrijf SolarWinds beïnvloedt, gaf elite-hackers op afstand toegang tot de netwerken van een organisatie zodat ze informatie konden stelen. Het werd pas ontdekt toen het prominente cyberbeveiligingsbedrijf FireEye vaststelde dat het was gehackt. Wie ook in FireEye was ingebroken, zocht volgens het bedrijf gegevens over zijn overheidsklanten—en ging ervandoor met hacktools die het gebruikt om de verdediging van zijn klanten te onderzoeken.
"Er is geen bewijs dat dit destructief bedoeld was," zei Ben Buchanan, cyberspionage-expert van Georgetown University en auteur van "The Hacker and The State." Hij noemde de reikwijdte van de campagne "indrukwekkend, verrassend en alarmerend."
De schijnbare maandenlange tijdlijn gaf de hackers ruim de tijd om informatie uit veel verschillende doelwitten te halen. De heer Buchanan vergeleek de omvang ervan met de Chinese inbraak van het Amerikaanse Office of Personnel Management in 2015, waarbij de gegevens van 22 miljoen federale werknemers en overheidssollicitanten werden gestolen.
FireEye-directeur Charles Carmakal zei dat het bedrijf op de hoogte was van "tientallen ongelooflijk waardevolle doelwitten" die door de hackers waren gecompromitteerd" en "een aantal organisaties hielp reageren op hun inbraken." Hij wilde er geen noemen en zei dat hij verwachtte dat er in de komende dagen nog veel meer zouden ontdekken dat ook zij geïnfiltreerd waren.
Wat is SolarWinds?
SolarWinds uit Austin, Texas, biedt netwerkmonitoring en andere technische diensten aan honderdduizenden organisaties wereldwijd, waaronder de meeste Fortune 500-bedrijven en overheidsinstanties in Noord-Amerika, Europa, Azië en het Midden-Oosten.
Het gecompromitteerde product, genaamd Orion, is goed voor bijna de helft van de jaarlijkse omzet van SolarWinds. De omzet van het bedrijf bedroeg in de eerste negen maanden van dit jaar $753,9 miljoen. De gecentraliseerde monitoring zoekt naar problemen in de computernetwerken van een organisatie, wat betekent dat inbreken de aanvallers een "God-beeld" van die netwerken gaf.
SolarWinds, waarvan het aandeel maandag met 17 procent daalde, zei in een financiële rapportage dat het een waarschuwing heeft gestuurd naar ongeveer 33.000 van zijn Orion-klanten die mogelijk getroffen zijn, hoewel het schatte dat een kleiner aantal klanten—minder dan 18.000—de gecompromitteerde productupdate eerder dit jaar daadwerkelijk had geïnstalleerd.
FireEye beschreef de duizelingwekkende mogelijkheden van de malware—van aanvankelijk tot twee weken slapend liggen, tot verborgen in het volle zicht door te doen alsof de verkenningstochten als Orion-activiteit waren.
Is mijn werkplek getroffen?
Noch SolarWinds, noch de Amerikaanse cybersecurityautoriteiten hebben publiekelijk geïnformeerd welke organisaties zijn gehackt. Alleen omdat een bedrijf of agentschap SolarWinds als leverancier gebruikt, betekent dat niet per se dat ze kwetsbaar waren voor de hacking. De malware die achterdeurtjes voor externe toegang opende, werd geïnjecteerd in de Orion-productupdates van SolarWinds die tussen maart en juni werden uitgebracht, maar niet elke klant installeerde ze.
De hackers zouden ook de organisatie moeten willen aanvallen. Hacken op hun niveau is duur en alleen de gedisciplineerde indringers kozen doelwitten met zeer begeerde informatie omdat het risico om ontdekt te worden toenam telkens wanneer ze de malware activeerden, zei Carmakal van FireEye.
De zogenaamde supply chain-methode die werd gebruikt om de malware via de software van SolarWinds te verspreiden, deed denken aan de techniek die Russische militaire hackers in 2016 gebruikten om bedrijven die zaken doen in Oekraïne te infecteren met het harde schijf-wissende NotPetya-virus—de meest schadelijke cyberaanval tot nu toe. In dat geval plaatsten de hackers een zelfpropagerende worm in de updates van een belastingvoorbereidingssoftwarebedrijf om zijn klanten te infecteren. In dit geval vereiste elke daadwerkelijke infiltratie van een geïnfecteerde organisatie "nauwgezette planning en handmatige interactie," volgens FireEye.
Wie is verantwoordelijk?
SolarWinds zei dat het was geadviseerd dat een "buitenstaat" hun systemen met malware had geïnfiltreerd. Noch de Amerikaanse overheid, noch de getroffen bedrijven hebben publiekelijk gezegd welke natiestaat zij verantwoordelijk achten.
Een Amerikaanse functionaris, die anoniem wilde blijven vanwege een lopend onderzoek, vertelde maandag aan The Associated Press dat Russische hackers worden verdacht. Rusland zei maandag dat het "niets te maken had" met de hacking.
"Opnieuw kan ik deze beschuldigingen ontkennen," zei Kremlin-woordvoerder Dmitri Peskov tegen verslaggevers. "Als de Amerikanen er maandenlang niets aan konden doen, dan moet men waarschijnlijk niet ongegrond de Russen overal de schuld van geven."
De heer Buchanan, de expert uit Georgetown, zei dat de hackers "bedreven waren in het vinden van een systemische zwakte en die vervolgens maandenlang stilletjes uitbuiten." De consensus binnen de cyberdreigingsanalysegemeenschap dat Russen verantwoordelijk zijn, ondersteunen de gebruikte tactieken, technieken en procedures die hun digitale vingerafdrukken dragen, aldus Brandon Valeriano, een technologiewetenschapper van de Marine Corps University.
Wat kan er gedaan worden om zulke hacks te voorkomen en tegen te gaan?
Spionage schendt niet expliciet het internationaal recht—en cyberverdediging is moeilijk. Maar vergelding tegen overheden die verantwoordelijk zijn voor grove hacks gebeurt. Diplomaten kunnen worden uitgezet. Sancties kunnen worden opgelegd. De regering-Obama zette Russische diplomaten uit als vergelding voor de inmenging van Kremlin-militaire hackers ten gunste van Donald Trump bij de verkiezingen van 2016. Cyberbeveiliging "is geen presidentiële prioriteit" geweest tijdens de Trump-regering en de vertrekkende president is niet in staat of niet bereid geweest Rusland ter verantwoording te roepen voor agressieve acties in cyberspace, zei Chris Painter, die het cyberbeleid coördineerde binnen het ministerie van Buitenlandse Zaken tijdens de regering-Obama.
"Ik denk dat dat bijdraagt aan de bravoure van Rusland," zei hij. Het aankomende nationale veiligheidsteam van Biden heeft aangegeven minder tolerant te zullen zijn en wordt verwacht de functie van cybersecuritycoördinator van het Witte Huis, die door Trump werd geëlimineerd, te herstellen.
De bredere focus op cyberbeveiliging door het Witte Huis zal cruciaal zijn, zeggen branche-experts.
Een advies van Microsoft, dat FireEye hielp bij de hackrespons, zei dat het "meer dan 13.000 meldingen had geleverd aan klanten die door natiestaten waren aangevallen in de afgelopen twee jaar en een snelle toename van hun verfijning en operationele beveiligingsmogelijkheden waarnam."


