Nieuwe onthullingen
Dat er nog steeds nieuwe onthullingen over de SolarWinds hack komen is ergens wel opmerkelijk. Als er een doelwit is dat ondertussen grondig onderzocht zou moeten zijn door alle cyberspecialisten op Amerikaans grondgebied, is dat het wel. Toch was vorige week de gifbeker duidelijk nog niet leeg.
Meer in Amerika
RiskIQ schreef op het eigen blog dat het binnen de cloud infra van Amerikaanse hyperscalers nog eens 18 inactieve C&C servers heeft ontdekt. Al deze servers stonden in Amerikaanse availability zones of regio’s. Dat is geen toeval. Binnenlands dataverkeer van per definitie minder op dan verkeer dat naar een ander continent gaat. Amerikaanse hosters en cloudaanbieders mogen ook niet door de NSA worden gemonitord. Die bevoegdheid geldt alleen voor datastromen in en naar het buitenland.
Lange periode
De 18 servers kunnen worden toegevoegd aan een lijst waarop er al 30 stonden. Het nu bekende aantal is groot. Alles wijst op getrapte aanvallen over een langere periode. De voorbereidingen hiervan moeten ook lang hebben geduurd.
Vervelend voor de hyperscalers
Voor de AWC,GCS en Azure kan dit nog vervelender worden. De politiek heeft er al moeite mee dat de NSA dit niet eerder heeft opgemerkt. De (grond)wettelijk beperkingen kunnen nog op de helling gezet worden. Makkelijk is het voor de politiek om het bedrijfsleven de duimschroeven aan te draaien. Hoe kan het zijn dat in ieder geval 48 transacties en daarna installaties niet zijn opgevallen?
De installaties waren in een aantal gevallen voorzien van domeinnamen die al jaren geleden moeten zijn verworven. Ook dat had security-wise moeten opvallen bij AWS en consorten. Het recyclen van domeinnamen is makkelijk te monitoren. Het is zelfs mogelijk te volledig geautomatiseerd te controleren of inhoud en naamgeving wel bij elkaar passen. Op die manier worden namelijk ook websites voor neppillen, schoenen en dergelijke gevonden.
Sectigo certificaten
Er zijn verder de nodige bewijzen dat de cybercriminelen van te voren certificaten bij Sectigo hebben gekocht om de slapende domeinnamen nog minder te laten opvallen. Tot zover bekend is dat bedrijf nog niet op het matje in Washington geroepen. Waarschijnlijk is het voor politici en veiligheidsdiensten makkelijker en vooral logischer de Amerikaanse hyperscalers in het vizier te nemen. Zij hebben immers de omvang en de plek in de keten om van flarden informatie een completer en bruikbaarder dreigingsbeeld te maken.
