Door een hack bij het Amerikaanse softwarebedrijf SolarWinds konden overheidsinstanties en grote bedrijven wereldwijd ineens worden bespioneerd. Wat is er precies gebeurd?

Op zondag 13 december kwam een hackaanval op het Amerikaanse ministerie van Financiën aan het licht, waarna bleek dat ook het ministerie van Binnenlandse Veiligheid slachtoffer was geworden.

In de dagen daarop maakten steeds meer Amerikaanse overheidsinstanties melding van een hack, waaronder het agentschap dat over het kernwapenarsenaal gaat.

Ook het gerenommeerde beveiligingsbedrijf FireEye en Microsoft werden getroffen. Dat laatste zegt dat de systemen nooit toegankelijk waren.

Het bleek geen toeval dat al die aanvallen zo kort na elkaar gemeld werden: ze waren allemaal afkomstig uit één stuk software, dat wereldwijd door veel grote organisaties wordt gebruikt.

Amerikaanse softwaremaker slachtoffer van hack

De aanval begon bij het Amerikaanse SolarWinds. Dit bedrijf maakt softwareprogramma's speciaal voor overheidsinstanties en grote bedrijven, om te helpen bij het beheren van hun netwerken en systemen.

Hackers wisten in te breken in de systemen van SolarWinds en malware toe te voegen aan het programma Orion. De malware werd onderdeel van een update, waardoor hij automatisch werd geïnstalleerd bij organisaties die de applicatie gebruiken.

Duizenden instanties werden afgeluisterd

De malware kwam uiteindelijk terecht bij pakweg de helft van alle 33.000 klanten die Orion hebben geïnstalleerd, blijkt uit een verslag van SolarWinds. De kwaadwillende software ging maandenlang onverstoord rond totdat deze werd opgemerkt.

Na installatie deed de malware korte tijd niks, waarna het netwerkverkeer binnen het bedrijf stiekem werd afgeluisterd. Deze spionage werd gemaskeerd als actie van Orion zelf, waardoor die lastig te detecteren was. Vervolgens werd verzamelde informatie naar de hackers teruggestuurd.

Rusland wordt verdacht, maar ontkent

Tot nu toe heeft niemand verantwoordelijkheid genomen voor de hack en grootschalige spionage. Anonieme bronnen leggen in gesprek met verschillende nieuwsorganisaties de schuld bij Rusland, dat op deze manier andere landen zou bespioneren.

Bewijs voor die aantijgingen is nog niet gepresenteerd en SolarWinds zelf heeft nog geen mogelijke dader aangewezen. De Russische overheid ontkent daarnaast betrokken te zijn bij de hack.

Onbekend wie nog meer getroffen zijn

Na de ontdekking hebben Amerikaanse ministeries, FireEye en Microsoft melding gemaakt van de gevonden malware, maar de lijst met getroffen instanties is gezien de duizenden klanten waarschijnlijk veel langer.

Volgens SolarWinds zijn ook bedrijven in België en het Verenigd Koninkrijk slachtoffer van de aanval. In Nederland gebruiken bedrijven het programma ook, maar het moet nog blijken in hoeverre zij doelwit waren. Op een kaart met vermoedelijk getroffen bedrijven die Microsoft samenstelde, is ons land ook ingekleurd.

De aanval wordt onderzocht

In de Verenigde Staten staat de aanval vooral in de schijnwerpers omdat de malware daar tot nu toe het vaakst is aangetroffen. Aankomend president Joe Biden noemt de aanval een zaak "van de hoogste prioriteit" als hij het Witte Huis straks betrekt.

De aanval wordt nader onderzocht door meerdere ministeries, terwijl een samenwerkingsverband van de FBI en cybersecuritybureau CISA aan een reactie op het incident werkt.