NASA, Pentagon en Co - Hackers infiltreren gevoelige doelwitten

De in Rusland gevestigde hackersgroep APT29, ook wel bekend als Cozy Bear, wordt verondersteld een aantal Amerikaanse agentschappen te hebben geïnfiltreerd, waaronder het State Department, Justice Department en Pentagon, evenals NASA en duizenden bedrijven wereldwijd. Volgens berichten in de media werd dezelfde aanvalsvector gebruikt die onlangs werd gebruikt om de Beveiligingsbedrijf Fireeye gehackt was. Naar de nieuwszender CNN autoriteiten hebben sindsdien de aanval bevestigd.

Volgens een rapport van Fireeye de voor de aanval gebruikte malware werd verspreid via Wolkenserver van de Orion IT-monitoring en -beheersoftware van Solarwinds. De hackers integreerden de malware in een update van de software, die vervolgens door de gecompromitteerde bedrijven en autoriteiten werd geïnstalleerd.

Verscheidene updates beïnvloed

Volgens Fireeye, begon de aanval al in het voorjaar van 2020, met meerdere ondertekende en Trojaanse paarden... Updates en gedistribueerd via de Solarwinds servers.

In de tussentijd, Fireeye is op GitHub Er zijn handtekeningen voor de malware met de naam Sunburst vrijgegeven, waardoor Snort, Yara, IOC en ClamAV geïnfecteerde systemen kunnen schoonmaken.

In een StelAdvies Solarwinds heeft ook de verspreiding van de Sunburst-malware via haar updateservers bevestigd. Het bedrijf raadt alle klanten aan om hun Orion-platform zo snel mogelijk te updaten. Volgens zijn eigen Details Solarwinds heeft wereldwijd meer dan 300.000 klanten. Tot de mogelijke slachtoffers van de hack behoren dus niet alleen de Amerikaanse autoriteiten, maar ook bedrijven als Siemens, AT&T, Cisco, Mastercard en Microsoft.

Tegenover de Washington Post John Scott-Railton verklaarde dat de schade van de aanval hoogstwaarschijnlijk enorm zal zijn. In het verleden was APT29 een van de meest agressieve hackgroepen.