Amerikaanse minister voor Buitelandse Zaken Mike Pompeo geeft de schuld voor de SolarWind-hack aan Rusland. President Trump zelf denkt er anders over en verdenkt China.
Afgelopen vrijdag gaf Pompeo een radio interview waarin hij zei: “Ik denk dat we vrij duidelijk kunnen zeggen dat de Russen iets met deze activiteit te maken hadden.” In het interview vertelde Pompeo ook dat hij nog niet kan zeggen welke accounts precies zijn aangetast door de SolarWinds-hack. Hij voegde eraan toe dat een deel van de informatie ook geheim zal blijven.
President Trump reageerde op het statement met een Tweet waarin hij aangaf dat het misschien ook China zou kunnen zijn. Volgens Trump is de aanval in de fake news media veel groter dan in realiteit. Rusland zou een makkelijk slachtoffer zijn voor de media, doordat ze bang zijn voor de mogelijke echte dader: China.
Volgens The Associated Press was het Witte Huis afgelopen vrijdagmiddag klaar om een statement uit te geven waarin bekend werd gemaakt dat Rusland de belangrijkste speler was in de SolarWinds hack. Uiteindelijk werd dit toch teruggetrokken.
Eerdere aanval op SolarWinds
Terwijl het Amerikaanse bestuur uitvecht wie de schuldige is, gaat het verhaal achter de SolarWinds hack verder. Microsoft ontdekte dat het bedrijf in 2019 ook al werd aangevallen. Dat betekent dat de Amerikaanse overheid waarschijnlijk al langere tijd in de problemen zit. Volgens Microsoft heeft SolarWinds al problemen sinds oktober 2019. Deze claim is gebaseerd op een digitaal ondertekend .dll-bestand dat is opgedoken.
Mogelijk waren aanvallers in staat om toegang te krijgen tot de software development en distributie pipeline van SolarWinds. Aanvallers richtten zich vervolgens op een enkel .dll-bestand genaamd ‘SolarWinds.Orion.Core.BusinessLayer.dll’. Binnen het bestand voegden de aanvallers hun code toe aan het onderdeel ‘RefreshInternal’.
Zodra ‘RefreshInternal’ werd ingeschakeld, werd ook de aangetaste code geladen. Zodra de kwaadaardige code werd ingeschakeld, draaide ze een aantal tests om te checken beveiligingssoftware en te achterhalen met welke IP-adressen werd gecommuniceerd.
Wanneer dat alles voldoet aan waar de hackers op hoopten, wordt de code geactiveerd en krijgt de hacker de mogelijkheid om processen te draaien, stoppen en in te zien. Ook konden hackers informatie over het apparaat verzamelen en uploaden en het apparaat opnieuw opstarten.
Microsoft verklaart dat de hack aanvallers in staat stelt om gebruik te maken van privilege escalation explorations om inloggegevens te stelen en op jacht te gaan naar waardevolle accounts en assets.