Via een tweede ‘bug’ zouden de aanvallers op hun eigen manier de SolarWinds Orion-software hebben kunnen misbruiken. Vorig jaar konden ze daardoor rondsnuffelen in de salarisgegevens van Amerikaanse ambtenaren. Reuters zegt op het Chinese spoor te zijn gekomen via vijf personen die nauw zijn betrokken bij het onderzoek naar de grootste hack uit de Amerikaanse geschiedenis.
Daarmee neemt deze affaire opnieuw een onverwachte wending. Het aantal Amerikaanse overheidsinstellingen en bedrijven dat slachtoffer werd van de hack, ligt inmiddels boven de 250. Niet bekend is hoeveel organisaties door de vermoedelijk Chinese groep hackers zijn aangevallen.
Wel hebben onderzoekers van de FBI ontdekt dat het National Finance Center, een payroll-organisatie binnen het Amerikaanse ministerie van Landbouw, is gekraakt. Volgens Reuters wordt vermoed dat hier Chinezen achter zitten. De werkwijze van de aanvallers lijkt namelijk verdacht veel op wat door Beijing gesteunde hackers eerder hebben gedaan. Zowel de tools waarmee is gehackt als de gebruikte computerinfrastructuur komen overeen.
Het ministerie van Buitenlandse Zaken in Beijing ontkent de aantijging. Volgens de Chinezen is het technisch uiterst complex om achter de identiteit van de aanvallers te komen. Beijing stelt dat hard bewijs ontbreekt.
Autocoureurs
SolarWinds weet ervan dat een bepaalde klant door een tweede groep hackers is aangevallen, maar kan verder niets definitiefs zeggen over de aard van de aanvallers. Volgens SolarWinds heeft de groep geen toegang gehad tot haar interne systemen. Een woordvoerder van het ministerie van Landbouw bevestigt de datalek, maar onthoudt zich verder van commentaar. Volgens Gregory Touhill, de voormalige ciso van de Amerikaanse overheid, komt het vaker voor dat verschillende groepen hackers hetzelfde softwareproduct aanvallen. Hij vergeleek het gedrag van staatshackers met die van autocoureurs, die racen ook graag in elkaars slipstream.
Volgens securityanalisten is pas recent ontdekt dat vermoedelijk Chinese hackers achter de tweede groep van aanvallen zitten. Begin januari sijpelden de eerste berichten door dat een tweede groep staatshackers via de SolarWinds software malware had geplaatst in netwerken van overheden en bedrijven. Wel werd meteen al aangenomen dat deze groep los van de vermoedelijk Russische staatshackers werkte.
Om te kunnen beoordelen moet u ingelogd zijn: