Microsofts onderzoek in de SolarWinds cyberaanval toont dat de hackers voornamelijk oog hadden voor cloudopslag en e-mailservers van getroffen bedrijven. Via SAML-tokens konden hackers eigen sleutels aanmaken om toegang te krijgen tot alle online opslag en e-mails.
De hackers kregen toegang tot alle doelwitten dankzij een SolarWinds Orion-update. In die update zat malafide code verwerkt, maar door de SolarWinds-hack kregen de cybercriminelen vrij spel. De software update leek namelijk voor buitenstaanders legitiem met de juiste handtekeningen en binaries.
Eens geïnstalleerd, konden de hackers hun doelwitten uitkiezen. Diezelfde doelwitten hadden niets door omdat de SolarWinds Orion-update legitiem was. Volgens Microsoft was het finale doel om inloggegevens te verkrijgen, privileges te escaleren en lateraal te bewegen om uiteindelijk geldige SAML-tokens aan te kunnen maken.
SAML-token
In een uitgebreide blogpost laat Microsoft weten dat de aanmaak van SAML-tokens hackers de mogelijkheid geeft om toegang te krijgen tot gevoelige data zonder dat ze andere achterpoorten moeten gebruiken. Door de API-toegang te misbruiken via bestaande OAuth-applicaties, kunnen de criminelen in normale patronen of activiteiten blenden.
SAML (Security Assertion Markup Language) tokens zijn een type veiligheidssleutel. Wanneer een hacker de SAML handtekensleutel (een soort van master key) kan stelen, kan die gevalideerde veiligheidstokens aanmaken. Die zelfgevalideerde sleutels bieden toegang tot cloudopslagdiensten en e-mailservers zonder dat de hacker het netwerk van het slachtoffer nog nodig heeft.
Lees hier de uitgebreide details van Microsoft hoe je je netwerkbeveiliging kan verbeteren om je te wapenen tegen dergelijke aanvallen en hoe je tekenen van infiltraties kan herkennen. Eerder deze maand publiceerde de Cybersecurity Advisory nog een uitgebreid PDF-document met de titel ‘Detecting Abuse of Authentication Mechanisms’ dat ook de moeite waard is om door te nemen.
Minder dan 18.000 slachtoffers
De Solarwinds-hack treft heel wat bedrijven, waaronder Microsoft en Belgische bedrijven. De softwarereus ontkent evenwel dat de aanvallers aan de code van producten prutsten. Andere technologiereuzen als Cisco, Intel, VMware, Belkin en Nvidia behoren tot de getroffen bedrijven.
Ook in ons land zijn er slachtoffers. Volgens SolarWinds heeft de hack impact op minder dan 18.000 bedrijven. Alle grote techbedrijven die klant zijn bij SolarWinds vertellen op dit moment hetzelfde verhaal dat neerkomt op: we onderzoeken het, maar we denken niet dat het impact heeft op ons. Het kan echter even duren voordat bedrijven de impact van een hack zien. Zodra hackers in een systeem zitten, is het moeilijk te zeggen of ze echt weg zijn. Het is moeilijk om een netwerk te vertrouwen nadat een hacker heeft ingebroken.
Amerikaanse minister voor Buitenlandse Zaken Mike Pompeo geeft de schuld voor de SolarWind-hack aan Rusland. “Ik denk dat we vrij duidelijk kunnen zeggen dat de Russen iets met deze activiteit te maken hadden.” Verder laat Pompeo ook weten dat hij nog niet kan zeggen welke accounts precies zijn aangetast door de SolarWinds-hack. Hij voegde eraan toe dat een deel van de informatie ook geheim zal blijven.