WASHINGTON – De vermoedelijke Russische hackers achter de ergste Amerikaanse cyberaanval in jaren maakten gebruik van de toegang van wederverkopers tot Microsoft Corp-services om doelen te penetreren die geen gecompromitteerde netwerksoftware van SolarWinds Corp. hadden, aldus onderzoekers.
Terwijl updates van de Orion-software van SolarWinds voorheen het enige bekende toegangspunt waren, zei beveiligingsbedrijf CrowdStrike Holdings Inc donderdag dat hackers toegang hadden gekregen tot de verkoper die het Office-licenties verkocht en die hadden gebruikt om te proberen de e-mail van CrowdStrike te lezen. Het identificeerde de hackers niet specifiek als degenen die SolarWinds hadden gecompromitteerd, maar twee mensen die bekend waren met het onderzoek van CrowdStrike zeiden van wel.
CrowdStrike gebruikt Office-programma’s voor tekstverwerking, maar niet voor e-mail. De mislukte poging, die maanden geleden werd ondernomen, werd op 15 december door Microsoft aan CrowdStrike gemeld.
CrowdStrike, dat geen gebruik maakt van SolarWinds, zei dat het geen impact had gevonden van de inbraakpoging en weigerde de reseller te noemen.
“Ze kwamen binnen via de toegang van de wederverkoper en probeerden de leesrechten voor e-mail in te schakelen”, vertelde een van de mensen die bekend waren met het onderzoek aan Reuters. “Als het Office 365 voor e-mail had gebruikt, zou het game over zijn geweest.”
Veel Microsoft-softwarelicenties worden verkocht via derden, en die bedrijven kunnen vrijwel constant toegang hebben tot de systemen van klanten wanneer de klanten producten of werknemers toevoegen.
Microsoft zei donderdag dat die klanten waakzaam moeten zijn.
“Ons onderzoek naar recente aanvallen heeft incidenten gevonden met misbruik van inloggegevens om toegang te krijgen, wat verschillende vormen kan hebben”, aldus Jeff Jones, senior directeur van Microsoft. “We hebben geen kwetsbaarheden of compromittering van Microsoft-producten of cloudservices vastgesteld.”
Het gebruik van een Microsoft-wederverkoper om te proberen in te breken bij een vooraanstaand digitaal defensiebedrijf roept nieuwe vragen op over hoeveel wegen de hackers, waarvan Amerikaanse functionarissen beweren dat ze namens de Russische regering opereren, tot hun beschikking hebben.
De bekende slachtoffers tot nu toe zijn onder meer CrowdStrike-beveiligingsrivaal FireEye Inc en de Amerikaanse ministeries van Defensie, Staat, Handel, Treasury en Homeland Security. Andere grote bedrijven, waaronder Microsoft en Cisco Systems Inc, zeiden dat ze intern besmette SolarWinds-software hadden gevonden, maar geen aanwijzingen hadden gevonden dat de hackers het gebruikten om op grote schaal te bereiken op hun netwerken.
Tot nu toe was SolarWinds uit Texas het enige publiekelijk bevestigde kanaal voor de eerste inbraken, hoewel ambtenaren al dagen waarschuwen dat de hackers andere manieren hadden om binnen te komen.
Reuters meldde een week geleden dat Microsoft-producten werden gebruikt bij aanvallen. Maar federale functionarissen zeiden dat ze het niet als een eerste vector hadden gezien, en de softwaregigant zei dat zijn systemen niet werden gebruikt in de campagne. (https://www.reuters.com/article/idUSKBN28R2ZJ)
Microsoft liet toen doorschemeren dat zijn klanten nog steeds op hun hoede moesten zijn. Aan het einde van een lange, technische blogpost op dinsdag gebruikte het één zin om te vermelden dat hackers Microsoft 365 Cloud bereikten “vanaf vertrouwde leveranciersaccounts waar de aanvaller de omgeving van de leverancier had aangetast”.
Microsoft vereist dat zijn leveranciers toegang hebben tot clientsystemen om producten te kunnen installeren en nieuwe gebruikers toe te staan. Maar ontdekken welke leveranciers op een bepaald moment nog toegangsrechten hebben, is zo moeilijk dat CrowdStrike hiervoor een audittool heeft ontwikkeld en uitgebracht.
Na een reeks andere inbreuken via cloudproviders, waaronder een grote reeks aanvallen die worden toegeschreven aan door de Chinese overheid gesteunde hackers en bekend staat als CloudHopper, heeft Microsoft dit jaar nieuwe controles opgelegd aan zijn wederverkopers, waaronder vereisten voor meervoudige authenticatie.
De Cybersecurity and Infrastructure Security Agency en de National Security Agency hadden geen directe opmerkingen.
Ook donderdag bracht SolarWinds een update uit om de kwetsbaarheden in zijn vlaggenschip netwerkbeheersoftware Orion op te lossen na de ontdekking van een tweede reeks hackers die zich op de producten van het bedrijf hadden gericht.
Dat volgde op een afzonderlijke Microsoft-blogpost op vrijdag waarin stond dat SolarWinds zijn software het doelwit had van een tweede en niet-verwante groep hackers naast degenen die gelinkt zijn aan Rusland.
De identiteit van de tweede groep hackers, of de mate waarin ze met succes ergens hebben ingebroken, blijft onduidelijk.
Rusland heeft ontkend een rol te spelen bij het hacken.
(Rapportage door Joseph Menn en Raphael Satter. Aanvullende rapportage door Munsif Vengattil Editing door Chizu Nomiyama, Alistair Bell en Richard Chang)
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”