Vier Amerikaanse cybersecurity bureau’s (de FBI, CISA, ODNI en de NSA) hebben samen een statement naar buiten gebracht waarin ze Rusland officieel beschuldigen van de SolarWinds aanval.
Volgens de Amerikaanse functionarissen is een ‘Advanced Persistent Threat (APT) speler, waarschijnlijk van Russische afkomst” verantwoordelijk voor de SolarWinds hack. De functionarissen beschrijven de aanval als een poging om informatie te verzamelen.
Het gezamenlijke statement is een gedeeltelijke bevestiging van een rapport waarin The Washington Post SolarWinds linkt aan APT29. Deze codenaam wordt gebruikt door de cybersecurity industry en duidt op hackers die gelinkt zijn aan de Russische Foreign Intelligence Service (ook wel SVR genoemd).
Kritiek op Trump na eerdere beweringen
In eerste instantie wilde president Trump niet toegeven dat Rusland achter de aanvallen zat. Hij beweerde dat het ook een andere staat kon zijn, zoals China. Op basis van deze beweringen kreeg Trump veel kritiek. Er staken wederom verhalen de kop op dat Trump bij zijn verkiezing in 2016 hulp kreeg van Russische hackers. De gezamenlijke beschuldiging van Rusland komt als antwoord op deze kritiek.
In het statement noemt de Amerikaanse regering de aanval een poging om inlichtingen te verzamelen. Door de hack op deze manier te categoriseren, wil de overheid een einde maken aan complottheorieën die beweren dat de hack was bedoeld om verkiezingsfraude te plegen.
Tweede malware golf aanwezig bij minder dan 10 instanties
Naast de beschuldiging van Rusland en de aard van de aanvallen, geeft het statement ook meer inzicht in de schade die de aanval heeft aangebracht. De SolarWinds aanval vond plaats nadat Russische hackers inbraken in het backend van SolarWinds en malware toevoegden aan de SolarWinds Orion updates. Ongeveer 18.000 Orion klanten vonden en installeerden deze updates. Op slechts een paar van deze netwerken besloten de hackers om verder te gaan en een tweede malware te installeren.
De eerste malware, genaamd Sunburst, werd teruggevonden in duizenden systemen. De tweede malware, Teardrop genaamd, is gevonden bij minder dan tien overheidsinstanties. Waar het er in eerste instantie naar uitzag dat de hack mogelijk impact had op duizenden bedrijven, lijkt dat scenario in realiteit mee te vallen.