Een grootscheepse hackoperatie met SolarWinds als slachtoffer blijkt groter te zijn dan initieel gedacht. Securityspecialist CrowdStrike laat nu weten dat het enkele maanden geleden gedurende een periode van 17 uur gehackt werd om toegang te krijgen tot bedrijfse-mails.
Het SolarWinds-hack is het grootste geval van digitale spionage in lange tijd. Initieel leek de aanval gericht op enkele Amerikaanse overheidsdiensten, maar al snel bleek dat de Orion-software van SolarWinds (die gekaapt werd) meer bedrijven in het vizier neemt. Twee weken geleden bleek onder andere Microsoft zelf slachtoffer te zijn alsook enkele Belgische bedrijven.
Volgens de Amerikaans minister voor Buitenlandse Zaken Mike Pompeo zit Rusland achter de SolarWinds-hack. Nu blijkt dat dezelfde (vermoedelijk staat gesponsorde) hackergroep ook securitybedrijf CrowdStrike heeft willen aanvallen. Het securitybedrijf meldt dat in een blogbericht.
Microsoft Threat Intelligence Center
Op 15 december 2020 werd CrowdStrike gecontacteerd door het Microsoft Threat Intelligence Center. Ze hadden namelijk een Microsoft Azure-account van een reseller geïdentificeerd die 17 uur lang abnormaal veel pogingen ondernam om Microsoft cloud-API’s aan te spreken. De account was verantwoordelijk voor het beheren van de CrowdStrike Microsoft Office-licenties.
Er werd een poging ondernomen om e-mails te lezen, maar dat is niet gelukt volgens Microsoft. Crowdstrike gebruikt binnen zijn secure IT-architectuur geen Office 365 e-mails. CrowdStrike lanceerde na de melding wel direct een intern onderzoek in alle Azure-accounts en alle andere infrastructuur gedeeld door Microsoft. Samen met het rapport van Microsoft kwam Crowdstrike tot de conclusie dat de hack niet succesvol was.
lees ook
Sleutelrol voor Microsoft in groot Amerikaans overheidshack
Om ander bedrijven te helpen snel alle diepgaande toegang tot Azure AD-omgevingen in te trekken, heeft CrowdStrike een community tool ontwikkeld onder de naam CrowdStrike Reporting Tool for Azure (CRT). Het securitybedrijf heeft de tool beschikbaar gesteld op GitHub zodat iedereen ermee aan de slag kan. CrowdStrike hoopt dat alle Azure AD-administrators hun Azure AD-configuratie zo snel mogelijk reviewen om te zien of de hackers ook hen hebben geviseerd.