De Russische hackersgroepering Nobelium, bekend van de SolarWinds-hack, is weer volop actief. Dit keer valt Nobelium op grote schaal IT-dienstverleners aan, zo waarschuwt Microsoft. Hoe houdt u deze gevaarlijke hackers buiten de deur?
Wat is Nobelium?
Nobelium is een Russische hackersgroep. Volgens Microsoft gaat het om dezelfde groepering die eind 2020 verantwoordelijk was voor de hack bij het Amerikaanse softwarebedrijf SolarWinds. De Amerikaanse overheid stelt dat Nobelium banden heeft met de SVR, de belangrijkste Russische buitenlandse inlichtingen- en veiligheidsdienst.
De hack bij SolarWinds was een zogeheten supplychain-aanval. De hackers verstopten kwaadaardige code in een update van de Orion-software van SolarWinds. Dit is software voor netwerkbeheer- en monitoring. Via de malware die daardoor werd geïnstalleerd, kregen ze op afstand toegang tot het netwerk van duizenden SolarWinds-klanten. Het geldt als een van de grootste cyberaanvallen ooit.
Wat heeft Microsoft precies ontdekt?
Na de SolarWinds-hack is Microsoft scherper gaan monitoren op potentiële supplychain-aanvallen. Zo kwam het bedrijf een nieuwe aanvalscampagne van Nobelium op het spoor. “Deze aanvallen zijn niet gericht op softwareleveranciers zoals SolarWinds, maar hoofdzakelijk op tussenpartijen zoals managed service providers (MSP’s), leveranciers van clouddiensten en doorverkopers”, zegt Jordi Scharloo, securityonderzoeker bij KPN Security.
Sinds mei heeft Microsoft ruim 140 IT-dienstverleners en resellers ingelicht die door Nobelium waren aangevallen. 14 van hen zouden daadwerkelijk gehackt zijn. Deze aanvallen zijn volgens Microsoft onderdeel van een grotere aanvalsgolf. Tussen 1 juli en 19 oktober voerde Nobelium bijna 23.000 aanvallen uit op 609 Microsoft-klanten.
Factsheet: SASE (Secure Access Service Edge)
Hybride werken zet bedrijfsnetwerken en de traditionele security flink onder druk. Ontdek hoe SASE hierbij helpt.
DownloadWaarom worden juist IT-dienstverleners aangevallen?
Via een IT-dienstverlener kan Nobelium in één keer toegang krijgen tot de systemen van een groot aantal bedrijven. Zo’n aanval kost relatief weinig moeite, maar kan de hackers veel opleveren. Het principe is hetzelfde als bij eerdere supplychain-aanvallen, zoals de SolarWinds-hack en de aanval op Kaseya. “Er zijn niet veel partijen die beheersoftware maken”, licht Scharloo toe. “Daarom vist Nobelium nu in een andere vijver.”
“In elk land zitten honderden IT-dienstverleners en resellers”, vervolgt de securityonderzoeker. “Die zijn vaak kleiner, maar blijven een aantrekkelijk doelwit. Bovendien vergt een grote aanval op een partij als SolarWinds veel capaciteit van de cybercriminelen. Vermoedelijk wilden de Kaseya-hackers daarom alles in één keer afhandelen met een losgeldbetaling van 70 miljoen dollar. Een kleine MSP is een stuk behapbaarder.”
Welke aanvalsmethoden hanteert Nobelium?
Nobelium gaat dit keer anders te werk dan bij de aanval op SolarWinds, waarbij de hackers binnenkwamen via een zeroday-kwetsbaarheid in de Orion-software. “Zerodays zijn moeilijk te vinden en ontzettend duur”, legt Scharloo uit. “En als zo’n kwetsbaarheid eenmaal is misbruikt voor een aanval, duurt het vaak niet lang voordat er een patch beschikbaar is. Een zeroday wordt dus vooral ingezet bij de allergrootste doelwitten.”
Mede daarom valt Nobelium nu terug op meer traditionele hackmethodieken. “Ze zoeken over de gehele linie naar zwakke plekken in de verdediging van IT-dienstverleners. Dat kan een openstaande poort of webserver zijn, maar ook een managementassistente die niet getraind is om een gerichte phishingaanval te herkennen. Of misschien zijn online wel inloggegevens van medewerkers te vinden als gevolg van een datalek. Dit is slechts een greep uit de aanvalstechnieken die worden gebruikt.”
De impact van zo’n aanval verschilt per dienstverlener. Scharloo: “Een hack bij een beheerder van werkplekken biedt bijvoorbeeld de mogelijkheid om ransomware uit te rollen naar klanten. Maar het is zeker niet zo dat Nobelium altijd meteen toeslaat. Hun primaire doel lijkt het vergaren van informatie te zijn, bijvoorbeeld voor spionagedoeleinden. Zo weet een reseller precies welke IT-systemen zijn klanten gebruiken.”
Lopen Nederlandse organisaties risico?
Nederland heeft een omvangrijke digitale infrastructuur en is een kenniseconomie met veel kapitaalkrachtige bedrijven. “Bovendien telt ons land honderden IT-dienstverleners, waarvan een deel niet de middelen heeft om te investeren in security”, stelt Scharloo. “Het is evident dat wij een interessante markt zijn voor Nobelium. Er valt veel bij ons te halen, zowel geld als waardevolle informatie.”
Wat kunnen IT-dienstverleners hiertegen doen?
Allereerst is het cruciaal om de toegangsrechten tot systemen van klanten zoveel mogelijk te beperken. “Het komt regelmatig voor dat bedrijven hun IT-partner ongelimiteerd toegang geven omdat dit handig is”, zegt Scharloo. “Of de klant heeft één keer toegang gegeven en is daarna vergeten om de toegang weer te blokkeren. Idealiter vraagt de IT-partner voor elk verzoek opnieuw om toegang. Als dat echt niet praktisch is, beperk dan in ieder geval de rechten van het account.”
Verder roept de securityonderzoeker IT-dienstverleners op om hun security kritisch te evalueren. “Neem daarin zeker ook het menselijke aspect mee. Organiseer securityawarenesstrainingen voor het personeel en laat periodiek een phishingtest uitvoeren. U kunt ook gerichte maatregelen treffen voor kwetsbare medewerkers. Denk hierbij aan een scherpere afstelling van de mailbox van de managementassistente, zodat er bijvoorbeeld een waarschuwing verschijnt als ze een e-mail ontvangt van iemand buiten de eigen organisatie.”
Hoe kunnen klanten van IT-dienstverleners zich beschermen?
Scharloo adviseert elke organisatie om externe verbindingen actief te monitoren. “Netwerkmonitoring wordt steeds belangrijker binnen security, maar is ook lastig om goed in te richten. Nu heeft u echter een specifiek aanknopingspunt. Stel dat u op een dag drie verbindingen vanuit uw IT-beheerder in uw loggegevens ziet, waarvan de beheerder er slechts twee herkent. Dan is er mogelijk iets niet in de haak. Ook is het vreemd als zo’n verzoek ongewoon veel bandbreedte verbruikt.”
“Houd ook uw IT-partner scherp als het gaat om het beperken van toegangsrechten. Dat doet u door de juiste vragen te stellen. ‘Waarom vragen jullie nooit om toegang?’ ‘Hoe vaak nemen jullie de accounts met beheerrechten onder de loep?’ De antwoorden geven aan hoe serieus uw IT-partner hiermee bezig is. Als u simpelweg vraagt of de IT-beheerder rekening houdt met Nobelium, krijgt u vast te horen dat hij dit heel belangrijk vindt. Dat zegt helaas weinig.”
Kom nu in actie
De securityonderzoeker sluit af met een dringende oproep aan alle Nederlandse organisaties: “Neem direct maatregelen. Dankzij het onderzoek van Microsoft weten we in een vroeg stadium wat de huidige strategie van Nobelium is. Normaal gesproken komen we pas in actie nadat er een groot incident heeft plaatsgevonden. Dan lopen we achter de feiten aan. Laten we de handen ineenslaan om deze aanvalsroute nu af te dekken.”
