MalwareLab van Microsoft (afb: Microsoft)

Het schijnt (weer?) mis te zijn bij Microsoft. Het Amerikaanse bedrijf meldde gister dat het het kwalijke progje Sunburst op zijn servers had ontdekt. Het bedrijf zou die bedreiging op afstand van de met Sunburst besmette machines hebben verwijderd.
Het blijft maar oorlog op het wereldwijde web. Het lijkt er zelfs op dat die strijd steeds heviger wordt. Nu is zelfs het ‘almachtige’ Microsoft slachtoffer geworden. Samen met GoDaddy en FireEye heeft Microsoft een zogeheten ‘moordschakelaar’ (‘kill switch’) gemaakt om het gevaar af te wenden.
Sunburst maakt verbinding met een subdomein van avsvmcloud.com. Dat domein heeft een doorverbinding met servers van Microsoft. Het progje wordt gedeactiveerd als het besmette apparaat zich verbindt met bepaalde IP-adressen, waaronder die van Microsoft, om ontdekking te voorkomen.

De besmetting zou samenhangen met het bijwerken van het programma Orion van het Texaanse bedrijf SolarWinds. Dat zou zijn bewerkstelligd door de met APT29 aangeduide e-kraakgroep, die banden zou hebben met de Russische overheid. Zo’n 18 000 van de 33 000 gebruikers van Orion (alle bedrijven) zouden zijn besmet met Sunburst.
Microsoft is zelf een van die gebruikers en vond Sunburst op zijn servers. Ook de opslagwolk Azure zou zijn getroffen. Microsoft stelt geen aanwijzing te hebben gevonden dat er toegang was geweest tot gegevens van klanten of dat hun systemen op hun beurt zijn gebruikt voor webaanvallen.

Ontmanteld

Met behulp van die ‘moordschakelaar’ zou de bedreiging bij de besmette bedrijven op afstand zijn ontmanteld. Dat betekent overigens niet dat de aanvallen ten einde zijn en de bedreiging verdwenen is. De criminele krakers zouden er ook in geslaagd zijn andere kwalijke progjes op de aangevallen systemen te plaatsen, die veelmoeilijker zouden zijn te ontdekken en te deactiveren dan Sunburst…

Bron: Futura-Sceinces