Minstens veertig klanten van Microsoft zijn besmet met dezelfde malware als die waarmee ook Amerikaanse overheidsinstellingen zijn gehackt door (allicht) Russische staatshackers. Daarbij is zeker een Belgisch bedrijf. Ook Microsoft heeft de software in zijn it-systemen aangetroffen.
Microsoft weet welke bedrijven de besmette Solarwinds-update hebben binnengekregen dankzij hun Windows Defender-tool. Die kan sinds kort de ‘signatures’ van de kwaadaardige software herkennen. Er is dus geen direct verband tussen Microsoft-software en de hack zelf, al laat het bedrijf weten dat het ook zelf slachtoffer is geworden. ‘Ook wij hebben malafide SolarWinds-binaries in onze omgevingen gevonden’, schrijft het bedrijf in een blogbericht. ‘Die hebben we geïsoleerd en verwijderd. We zien geen bewijs dat er toegang is geweest tot productie-omgevingen of klantdata. Ook toont ons onderzoek aan dat er geen tekenen zijn dat onze systemen zijn gebruikt om anderen aan te vallen.’
Bij de veertig bedrijven die Microsoft kon identificeren, zit er ook minstens een Belgische onderneming. Over wie het precies gaat, wordt niet bekendgemaakt. Nederland lijkt voorlopig gespaard te blijven door de hack. Microsoft zegt dat acht van de tien getroffen bedrijven uit de VS komen, de overige twintig procent komen uit zeven andere landen. Naast België zijn dat Canada, Mexico, Spanje, het VK, Israël en de Verenigde Arabische Emiraten. Bijna de helft zijn it-bedrijven, in de andere gevallen draait het om overheidsinstellingen, denktanken, NGO’s en bedrijven actief voor de overheid.
De grootschalige aanval kwam vorige week aan het licht toen bleek dat verschillende Amerikaanse overheidsinstellingen gehackt waren via een update voor Orion, een netwerkbeheertool van het Amerikaanse bedrijf SolarWinds. Onder meer bij de ministeries van Handel, Financiën en Energie, Defensie en het Homeland Security werd zo digitaal ingebroken. Ook de National Nuclear Security Administration (NNSA), het agentschap dat de Amerikaanse kernwapens onder zijn hoede heeft, zou daar bij zijn, zo schrijft de website Politico. Volgens Amerikaanse media zouden de hack zijn uitgevoerd door APT, ook gekend als Cozy Bear, een groep Russische staatshackers die aangestuurd worden door de Russische buitenlandse spionagediensten.