Microsoft blokkeert nu de Sunburst-achterdeur die wordt gebruikt in de SolarWinds-cyberaanval die wereldwijd talloze slachtoffers heeft geëist.

De Sunburst-achterdeur is een belangrijk kenmerk van de aanhoudende supply chain-aanval, en de release van een wereldwijde malware-handtekening zou de dreiging aanzienlijk moeten verminderen.

Wat is de SolarWinds-cyberaanval?

In december 2020 maakten tal van Amerikaanse overheidsinstanties bekend dat ze het slachtoffer waren van een uitgebreide hackoperatie. De achterdeur voor de aanval werd geplaatst met behulp van een kwaadaardige update via de SolarWinds Orion IT-beheersoftware en software voor bewaking op afstand.

Op het moment van schrijven heeft de SolarWinds-hack samen met de departementen de Amerikaanse schatkist opgeëist van binnenlandse veiligheid, staat, defensie en handel als slachtoffers, met het potentieel voor meer openbaringen.

Verwant: Deze beveiligingsexperts maken uw leven veiliger

Deze 10 beveiligingsexperts maken uw leven veiliger
instagram viewer

Veel "beveiligingsexperts" hebben niet de expertise die ze beweren. Hier zijn verschillende beveiligingsexperts die dat doen en wat ze doen om de beveiliging te verbeteren.

De ware omvang van de SolarWinds-aanval is nog niet bekend. Spreken met de BBC, cybersecurity-onderzoeker prof. Alan Woodward zei: "Na de Koude Oorlog is dit een van de potentieel grootste penetraties van westerse regeringen waarvan ik op de hoogte ben."

Wat is de Sunburst-achterdeur?

Zo'n enorme aanval duurde maanden, zo niet jaren van planning. De aanval werd in gang gezet met de levering van een onontdekte kwaadaardige update voor de SolarWinds Orion-software.

Buiten het medeweten van SolarWinds en hun gebruikers, van wie velen ministeries zijn, had een bedreigingsacteur een update geïnfecteerd.

De update is uitgerold naar minimaal 18.000 en mogelijk maximaal 300.000 klanten. Wanneer geactiveerd, activeerde de update een getrojaniseerde versie van de Orion-software, waardoor de aanvaller toegang kreeg tot de computer en het bredere netwerk.

Dit proces staat bekend als een supply chain-aanval. De hack werd ontdekt door FireEye, die in december 2020 zelf het slachtoffer werd van een gerelateerde spraakmakende datalek.

Verwant: Toonaangevend cyberbeveiligingsbedrijf FireEye getroffen door aanval van natiestaat

De FireEye-rapport samenvatting luidt als volgt:

De actoren achter deze campagne kregen toegang tot tal van publieke en private organisaties over de hele wereld. Ze kregen toegang tot slachtoffers via trojan-updates voor de Orion IT-monitoring- en beheersoftware van SolarWind. Deze campagne is mogelijk al in het voorjaar van 2020 begonnen en loopt momenteel. Activiteiten na compromittering na dit compromis in de toeleveringsketen omvatten zijdelingse bewegingen en gegevensdiefstal.

Sunburst is dus de naam waarmee FireEye de cyberaanval volgt en de naam die wordt gegeven aan de malware die wordt verspreid via de SolarWinds-software.

Hoe blokkeert Microsoft de Sunburst-achterdeur?

Microsoft implementeert detecties voor zijn beveiligingshulpmiddelen. Zodra de malware-handtekening wordt uitgerold naar Windows-beveiliging (voorheen Windows Defender), worden computers met Windows 10 beschermd tegen de malware.

Volgens de Microsoft 365 Defender Threat Intelligence-team blog:

Vanaf woensdag 16 december om 8:00 uur PST begint Microsoft Defender Antivirus met het blokkeren van de bekende kwaadaardige SolarWinds-binaries. Hierdoor wordt het binaire bestand in quarantaine geplaatst, zelfs als het proces wordt uitgevoerd.

Microsoft biedt ook de volgende aanvullende beveiligingsstappen als u de Sunburst-malware tegenkomt:

  1. Isoleer onmiddellijk het geïnfecteerde apparaat of de geïnfecteerde apparaten. De kans is groot dat als u de Sunburst-malware vindt, uw apparaat waarschijnlijk onder controle staat van een aanvaller.
  2. Als er accounts zijn gebruikt op het geïnfecteerde apparaat, moet u deze als gecompromitteerd beschouwen. Reset een wachtwoord met betrekking tot het account of stel het account volledig buiten gebruik.
  3. Onderzoek indien mogelijk hoe het apparaat is gecompromitteerd.
  4. Zoek indien mogelijk naar indicatoren dat de malware naar andere apparaten is verplaatst, ook wel laterale beweging genoemd.

Voor de meeste mensen zijn de eerste twee beveiligingsstappen het belangrijkst. U kunt ook meer beveiligingsinformatie vinden op het SolarWinds site.

Er is geen bevestiging van de identiteit van de aanvaller, maar het wordt aangenomen dat het werk het werk is van een zeer geavanceerd en goed uitgerust hackteam van de nationale staat.

E-mail
Heeft u echt een cyberverzekering nodig? 4 vragen die u moet stellen voordat u het begrijpt

Cybercriminaliteitsverzekeringen is een snelgroeiende branche die door veel organisaties wordt verkend. Maar is het een investering die de moeite waard is?

Gerelateerde onderwerpen
  • Veiligheid
  • Tech Nieuws
  • Windows Defender
  • Malware
  • Achterdeur
Over de auteur
Gavin Phillips (708 artikelen gepubliceerd)

Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.

Meer van Gavin Phillips

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.