Microsoft president Brad Smith schat dat aan de SolarWinds-aanval vermoedelijk meer dan duizend ontwikkelaars hebben gewerkt. Volgens hem is dit de grootste en meest complexe aanval ooit.
“Toen we alles hebben geanalyseerd bij Microsoft, vroegen we onszelf af hoeveel ingenieurs hieraan hebben gesleuteld. Na wat onderzoek moeten we concluderen dat er vermoedelijk meer dan 1.000 ontwikkelaars hebben gewerkt aan de hack”, zegt Smith in het Amerikaanse tv-programma 60 Minutes volgens The Register.
Smith gaat niet verder in op het verhaal welke nationaliteit deze ontwikkelaars hebben, maar hij vergelijkt de SolarWinds-aanval met de aanvallen op Ukraine die voornamelijk worden gelinkt aan Rusland. “Het is niet de eerste keer dat we dit zien. De Russische overheid heeft deze tactiek ontwikkeld in Ukraine. Dit type aanval viseert voor het eerst de Verenigde Staten”, zegt Smith.
FireEye Orion hack
In dezelfde uitzending zat ook de CEO van FireEye, Kevin Mandia. FireEye bond de kat de bel aan dankzij een melding rond tweestapsverificatie. “Onze security-werknemers merkten bij een loginpoging van een werknemer dat er twee telefoonnummers stonden geregistreerd. Na een verificatie blijkt dat de werknemer geen tweede nummer had toegevoegd, wat onmiddellijk de alarmbellen deed afgaan bij ons.”
Na verder onderzoek bleek dat de Orion-tool van FireEye besmet was en barstte de hel los rond de SolarWinds-aanval. In totaal werd er 4.032 lijnen code toegevoegd aan Orion en vormde het de kern van de besmetting die tal van andere bedrijven trof waaronder ook Belgische klanten.
De aanval gebeurde op servers die door de VS zelf worden gehost, wat ervoor heeft gezorgd dat de aanval niet direct werd opgemerkt. Amerikaanse cybersecurity-experts zoeken vooral naar activiteit buiten de landsgrenzen en rekenen erop dat de private sector in de VS zichzelf kan onderhouden. Dat gebeurt doorgaans, maar de complexiteit van deze aanval heeft voor een kleine opening gezorgd met enorme gevolgen waaronder de zichtbaarheid van broncode binnen Microsoft.