Minder dan honderd klanten van SolarWinds zijn via de backdoor in de software van bedrijf met aanvullende malware besmet geraakt, zo heeft het softwarebedrijf in een update over de supply-chain-aanval aan de Amerikaanse beurswaakhond SEC en in een blogposting laten weten.

SolarWinds maakte vorig jaar december bekend dat aanvallers maandenlang onopgemerkt toegang hadden tot de systemen van het bedrijf. Zo konden updates voor de Orion-software van een backdoor worden voorzien. Zo’n 18.000 organisaties hebben de besmette updates gedownload. Vervolgens kon er via de besmette updates aanvullende malware worden geïnstalleerd. Dat gebeurde bij een selecte groep slachtoffers.

Volgens SolarWinds gaat het om minder dan honderd klanten van het bedrijf, maar een exact aantal wordt niet genoemd. Onder de 18.000 klanten die de besmette updates hebben gedownload zijn twee grote groepen die niet verder besmet konden worden omdat de backdoor niet met de command en control-server van de aanvallers kon communiceren.

Het gaat om klanten die de gedownloade versie uiteindelijk niet installeerden en klanten die de update op een server zonder internettoegang installeerden. Bij een derde groep klanten waar besmette servers wel met de aanvallers communiceerden laat dns-data zien dat bij slechts een klein aantal klanten de backdoor voor verdere aanvallen werd gebruikt.

Verder meldt SolarWinds dat de aanvallers de broncode niet hebben aangepast. De backdoor werd binnen de “build” omgeving van het SolarWinds Orion-platform geïnjecteerd. De eerste test met het injecteren van code vond plaats in oktober 2019. De daadwerkelijke backdoor werd voor het eerst in maart 2020 geïnjecteerd. Tevens blijkt dat de aanvallers broncode van zowel het Orion-platform als andere SolarWinds-software hebben gestolen. Mogelijk zijn er ook gegevens van de klantenportaal buitgemaakt.

De aanvallers wisten verder toegang te krijgen tot de e-mailaccounts van bepaalde werknemers. Deze accounts bevatten informatie over voormalige en huidige werknemers en klanten van het bedrijf. Op welke wijze en wanneer de aanvallers toegang tot de SolarWinds-omgeving wisten te krijgen is nog altijd onbekend.

Source