Microsoft belicht nieuwe activiteiten van SolarWinds hackers

Het Microsoft Threat Intelligence Center volgt nieuwe activiteiten van NOBELIUM-dreigingsactor ofwel de hackers van SolarWinds.  "Ons onderzoek naar de gebruikte methoden en tactieken gaat door, maar we hebben wachtwoordspray en brute-force-aanvallen gezien en willen enkele details delen om onze klanten en gemeenschappen te helpen zichzelf te beschermen. Deze recente activiteit was meestal niet succesvol en de meeste doelen werden niet met succes gecompromitteerd - we zijn tot nu toe op de hoogte van drie gecompromitteerde entiteiten. Alle klanten die zijn gecompromitteerd of het doelwit zijn, worden gecontacteerd via ons meldingsproces voor de nationale staat", aldus Microsoft.

"Dit type activiteit is niet nieuw en we blijven iedereen aanraden veiligheidsmaatregelen te nemen, zoals het inschakelen van multi-factor authenticatie om hun omgeving te beschermen tegen deze en soortgelijke aanvallen. Deze activiteit was gericht op specifieke klanten, voornamelijk IT-bedrijven (57%), gevolgd door de overheid (20%) en kleinere percentages voor niet-gouvernementele organisaties en denktanks, evenals financiële diensten. De activiteit was grotendeels gericht op Amerikaanse belangen, ongeveer 45%, gevolgd door 10% in het VK, en kleinere aantallen uit Duitsland en Canada. In totaal waren 36 landen het doelwit", aldus Microsoft.

Microsoft meldt verder: 'Als onderdeel van ons onderzoek naar deze voortdurende activiteit hebben we ook informatie-stelende malware ontdekt op een machine van een van onze klantenondersteuningsagenten met toegang tot elementaire accountinformatie voor een klein aantal van onze klanten. De acteur gebruikte deze informatie in sommige gevallen om zeer gerichte aanvallen uit te voeren als onderdeel van hun bredere campagne. We hebben snel gereageerd, de toegang verwijderd en het apparaat beveiligd. Het onderzoek is aan de gang, maar we kunnen bevestigen dat onze ondersteuningsagenten zijn geconfigureerd met de minimale set machtigingen die vereist zijn als onderdeel van onze Zero Trust "minst bevoorrechte toegang"-benadering tot klantinformatie. We brengen alle getroffen klanten op de hoogte en ondersteunen hen om ervoor te zorgen dat hun accounts veilig blijven."

Deze activiteit versterkt het belang van best-practice beveiligingsmaatregelen zoals Zero-trust architectuur en multi-factor authenticatie en hun belang voor iedereen. Hieronder vindt u aanvullende informatie over de beveiligingsprioriteiten van de 'best practices':  

• Identiteitstoegangsbeheer 
• Nul vertrouwen  
• Modellen voor toegang met de minste bevoegdheden implementeren