Een senior Amerikaanse militaire commandant heeft een grimmige waarschuwing gegeven over gecoördineerde inspanningen van buitenlandse tegenstanders om de digitale infrastructuur van Amerika in gevaar te brengen door middel van open-source software kwetsbaarheden. Gen. Paul M. Nakasone, commandant van US Cyber Command, getuigde voor de Senaat Comité voor gewapende diensten dat China en Rusland actief kwaadaardige code invoegen in openbaar beschikbare software die wordt gebruikt in kritieke Amerikaanse sectoren.
De beoogde open-source software vormt de ruggengraat van operaties binnen meerdere vitale sectoren van de Amerikaanse infrastructuur. Gen. Nakasone benadrukte dat deze gecompromitteerde programma’s “veel worden gebruikt door het Amerikaanse leger, de overheid en de particuliere sector”, waardoor systemische kwetsbaarheden worden gecreëerd. De inherente transparantie van open-source software-publiekelijk toegankelijk en door iedereen worden gewijzigd-maakt het bijzonder vatbaar voor dergelijke natiestaatinfiltratie ondanks zijn wijdverbreide acceptatie in essentiële systemen, waaronder energiereters en telecommunicatienetwerken.
“We zien het op een aantal verschillende manieren,” verklaarde Nakasone tijdens de hoorzitting. “We zien onze tegenstanders, in het bijzonder China en Rusland, [engaging] In het invoegen van kwaadaardige code in open-source software. ” De generaal benadrukte het geavanceerde karakter van deze geheime operaties, die gericht zijn op het vaststellen van aanhoudende toegangspunten binnen Amerikaanse digitale ecosystemen.
Deze openbaring bouwt voort op verhoogde zorgen over de beveiliging van software supply chain na de verwoestende 2020 SolarWinds CyberAttack. Dat incident, toegeschreven aan door Russische door de staat gesponsorde hackers, gecompromitteerde netwerken in meerdere Amerikaanse overheidsinstanties en particuliere bedrijven door gebruik te maken van vertrouwde software-updatemechanismen. De inbreuk heeft fundamentele zwakke punten blootgelegd in de manier waarop organisaties softwarecomponenten van derden dierenarts op de partijen hebben.
De Amerikaanse overheid heeft haar focus op het beveiligen van de supply chain van de software de afgelopen jaren geïntensiveerd. Deze zorgen culmineerden in president Biden’s mei 2025 Executive Order die uitgebreide cybersecurity -verbeteringen verplicht, met specifieke bepalingen die de kwetsbaarheden van de supply chain aanpakken. De bestelling heeft verbeterde beveiligingsnormen vastgesteld voor software die aan de federale overheid verkocht en strengere rapportagevereisten voor cyberincidenten creëerde.
Nakasone beschreef de huidige dreiging als “buitengewoon serieus” op de hoogste overheidsniveaus. Cyber Command werkt uitgebreid samen met partners in de particuliere sector om de geïmplanteerde kwaadaardige code te identificeren en te neutraliseren. “We werken zeer nauw samen met onze partners in de particuliere sector om dit te kunnen identificeren,” bevestigde hij, en benadrukte hij de essentiële rol van industriële samenwerking bij de nationale cyberverdediging.
De generaal riep specifiek op tot versterkte beschermende maatregelen rond de Amerikaanse softwarevoedingsketen, en labelt de huidige waarborgen onvoldoende tegen geavanceerde natiestaatactoren. Hij merkte op dat tegenstanders het onderling verbonden karakter van de moderne softwareontwikkeling exploiteren, waarbij open-source componenten routinematig worden geïntegreerd in commerciële producten en overheidssystemen zonder grondig beveiligingsonderzoek.
Nakasone heeft de uitdaging als wereldwijd in schaal ingelijst en benadrukt dat unilaterale actie onvoldoende zou zijn. “Dit is een wereldwijde uitdaging en we moeten samenwerken om het aan te pakken,” beweerde hij, pleiten voor versterkte allianties om digitale bedreigingen collectief tegen te gaan. De betrokkenheid van zowel China als Rusland duidt op een strategische convergentie bij cyber tegenstanders die gecoördineerd internationaal cybersecuritybeleid en inlichtingenuitwisseling vereist.
Beveiligingsanalisten merken op dat open-source compromissen een kracht-multiplier vertegenwoordigen voor vijandige landen, waardoor ze tegelijkertijd duizenden organisaties kunnen richten door kwetsbaarheden met één punt. In tegenstelling tot traditionele cyberaanvallen die individuele netwerkpenetratie vereisen, kunnen vergiftigde softwarecomponenten automatisch malware distribueren aan alle gebruikers tijdens routine -updates.
De waarschuwing onderstreept het evoluerende karakter van cyberoorlogvoering, waarbij aanvallen in toenemende mate plaatsvinden lang vóór detectie door gecompromitteerde ontwikkelingstools en software -afhankelijkheden. Cybersecurity-experts zien dat dergelijke tactieken een strategische verschuiving weerspiegelen naar “pre-positionering” binnen software-ecosystemen om toekomstige disruptieve activiteiten mogelijk te maken.
Naar verluidt ontwikkelen federale agentschappen nieuwe kaders voor het valideren van software-integriteit, inclusief verbeterde code-ondertekenende vereisten en softwarebiller (SBOM) implementatie. De administratie overweegt ook stimulansen voor open-source beheerders om verbeterde beveiligingspraktijken aan te nemen, en erkennen dat veel kritieke projecten met beperkte middelen werken ondanks hun wijdverbreide implementatie in kritieke infrastructuur.
Naarmate de bedreigingen voor de digitale stichtingen van Amerika blijven evolueren, benadrukt de getuigenis de dringende behoefte aan uitgebreide strategieën die overheids-, particuliere sector en internationale inspanningen overbruggen om het steeds complexere software-supply chain-landschap te beveiligen tegen geavanceerde natiestaatsbedreigingen.
Source: Pentagon: open-source software die wordt aangevallen door buitenlandse tegenstanders
