Hackers infiltreren netwerk van TU Eindhoven: Hoe kon dit gebeuren?

tue, atlas, hoofdgebouw, den dolech 2 5600 mb eindhoven

Reeds hebben een aantal klanten en bekende van ons al eens gevraagd weten jullie wat er nu precies op de TU in Eindhoven is gebeurt? Reden genoeg om een aantal eerdere nieuwsberichten samen te pakken en jullie mee te nemen in deze gebeurtenissen.

Op zondag 12 januari werd het netwerk van TU Eindhoven (TU/e) getroffen door een hack. De universiteit moest noodgedwongen het eigen netwerk offline halen, wat resulteerde in een herstelperiode van een week. Hoewel de daders nog onbekend zijn, is hun werkwijze inmiddels wel duidelijk: gestolen inloggegevens werden verkregen via infostealers. Maar hoe kan zoiets gebeuren?

TU/e werkt samen met beveiligingsbedrijf Fox-IT om het incident te onderzoeken. Volgens De Volkskrant kwamen de hackers binnen via gestolen inloggegevens, die ook in criminele data voorkwamen, waaronder loggegevens van infostealers. Andere onderwijsinstellingen zijn op de hoogte gebracht, en de Radboud Universiteit Nijmegen heeft al extra authenticatiemaatregelen genomen om zich te beschermen tegen cyberdreigingen.

De vroege fase van de ‘killchain’

Hackers proberen voortdurend via verschillende digitale achterdeuren netwerken binnen te dringen. Zero-days (nog niet ontdekte kwetsbaarheden) en niet-gepatchte diensten zijn de meest voor de hand liggende routes. Echter, kwaadwillenden geven de voorkeur aan een gemakkelijke toegang via legitieme inloggegevens. Deze ‘voordeur’ van het netwerk biedt aanvallers de mogelijkheid om eenvoudig gegevens te stelen of te versleutelen.

Maar hoe komen hackers aan deze inloggegevens? Methoden zoals gokken en brute-forcing zijn vaak onbetrouwbaar of te traag. Een veel eenvoudigere manier is het kopen van legitieme inloggegevens via het darkweb. Websites zoals het in 2023 neergehaalde Genesis Market fungeerden als een soort alles-in-één winkel voor gevoelige inloggegevens die hackers konden kopen. Dit is echter al een latere fase in wat Lockheed Martin de “Cyber Kill Chain” noemt; er is eerder al iets gebeurd om de data te compromitteren.

Hoe infostealers werken

Infostealers richten zich op het begin van deze killchain en hebben als doel om gevoelige data te stelen. Deze gegevens kunnen variëren: sommige infostealers zijn enkel uit op creditcardinformatie, terwijl andere de browsergeschiedenis willen bemachtigen. In het geval van TU Eindhoven kan het gaan om een gebruikersnaam en wachtwoord. Soms is er meer nodig en combineren infostealers inloggegevens met andere details zoals telefoonnummer, e-mailadres of woonadres.

Deze vorm van malware infiltreert gebruikers via bekende routes: phishingmails, kwaadaardige bijlagen of gecompromitteerde websites. Securitybedrijf Packetlabs concludeert dat de beste infostealers modulair van aard zijn. Ze scannen eerst de omgeving waarin ze terechtkomen, om later specifieke payloads te installeren. Dit minimaliseert de voetafdruk van de malware, oftewel: er is zo min mogelijk bewijs van het bestaan ervan. Idealiter verzendt de infostealer zo klein mogelijke datapakketten over het netwerk naar een Command & Control (C2)-server op afstand met zoveel mogelijk waardevolle digitale goederen.

Volgens het raamwerk van Lockheed Martin is er nog meer werk vereist. Infostealers kunnen zich zonder problemen vestigen in een systeem, maar moeten ook heimelijk contact kunnen leggen met de servers van kwaadwillenden. Ze gelden slechts als een eerste stap in de killchain: backdoors, ongepatchte kwetsbaarheden en zero-days zijn voor verdere exploitatie een vriend van de hacker.

Infostealers zijn in Nederland al goed ingeburgerd. Meer dan 40.000 Nederlanders, vooral IT’ers, zouden ermee geïnfecteerd zijn, volgens onderzoek van RTL Nieuws. Onder hen zou zomaar een medewerker van TU Eindhoven kunnen zitten.

Doelwitten

Deze 40.000 Nederlanders zijn moeilijk te beschermen. Infostealers, net als andere malware, kunnen op allerlei manieren slachtoffers bereiken. Hun methodes zijn sterk afwisselend, met uiteenlopende gevolgen. Zo kan een infostealer informatie stelen via schermopnames, keylogging, overname van een browser, het dumpen van lokaal opgeslagen inloggegevens, het stelen van e-mails of het monitoren van het klembord. Kortom: zodra een infostealer is geïnstalleerd, zijn er allerlei manieren waarop data kan worden buitgemaakt.

Geen gebruiker is veilig, maar de meest waardevolle gegevens voor hackers zijn die van leidinggevenden, IT’ers met veel machtigingen in het netwerk en servicing-accounts. Deze laatste categorie wordt vaak over het hoofd gezien, waardoor detectie niet plaatsvindt of te laat komt. Infostealers richten zich ook regelmatig op bepaalde waardevolle sectoren, zoals het bankwezen of, in het geval van TU/e, op high-tech doelwitten. De eerste prominente infostealer die als zodanig werd omschreven was Zeus in 2007, die allerlei incidenten van fraude en botnets veroorzaakte. Bovendien kon het zichzelf vermenigvuldigen en verspreiden, zoals een klassiek virus.

Awareness

Dit artikel laat zien dat het belangrijk is en blijft om continue bezig te zijn met Cybersecurity Awareness binnen je organisatie. Het delen van dit soort verhalen en het geven van voorbeelden kan een belangrijke eerste stap zijn. Heb je hiermee hulp nodig dan helpen wij je natuurlijk graag. Superlogisch toch?

Bronnen: Techzine en de Volkskrant
Afbeelding: Wikipedia

Laatste blogs

outlook
Blog
De toekomst van Outlook: Wat betekent de overgang naar de nieuwe versie?
Vanaf januari 2025 zal de klassieke versie van Outlook geleidelijk verdwijnen en plaatsmaken voor de nieuwe, cloud-gebaseerde versie van Outlook. Deze verandering brengt zowel voordelen als nadelen met zich mee, vooral voor MKB bedrijven. In dit artikel leggen we uit wat deze overgang inhoudt en welke impact het kan hebben op jouw bedrijf. Waarom verdwijnt Outlook Classic? Microsoft heeft aangekondigd dat de klassieke versie van Outlook niet langer beschikbaar zal zijn op nieuwe Windows-pc’s vanaf 2024. Dit betekent dat gebruikers die gewend zijn aan de klassieke interface, zullen moeten overstappen naar de nieuwe versie van Outlook. De nieuwe versie is…
windows update
Blog
Microsoft Introduceert nieuwe beleidsoptie voor Windows 11-Updates
Medio 2025 biedt Microsoft organisaties de mogelijkheid om te bepalen of nieuwe Windows 11-installaties cumulatieve updates direct doorvoeren. Deze aanpassing is een reactie op feedback van systeembeheerders, die bezwaar hadden tegen een eerdere introductie die alle controle wegnam. De nieuwe beleidsoptie wordt later dit jaar beschikbaar voor Windows 11-apparaten met versie 22H2 of nieuwer. Hierdoor krijgen beheerders meer controle over het updateproces, met name tijdens de Out-of-the-Box Experience (OOBE), zoals Microsoft het noemt. Voorheen was het plan van Microsoft om altijd de nieuwste updates te forceren bij een installatie. Dit leidde echter tot problemen, omdat bepaalde oplossingen na een Windows-update…
BCDR
Blog
Hoe kun je profiteren van Datto BCDR bij een calamiteit
Het is essentieel om je ICT omgeving voor te bereiden op calamiteiten. Of het nu gaat om een cyberaanval, hardwarefalen of een natuurramp, een robuuste back-up en disaster recovery-oplossing kan het verschil maken tussen minimale verstoring en een volledige bedrijfsstilstand. Hier komt Datto BCDR (Business Continuity and Disaster Recovery) in beeld. Wat is Datto BCDR? Datto BCDR is een alles-in-één oplossing die bedrijven helpt hun data te beschermen en snel te herstellen van elke vorm van downtime. Het combineert back-up, disaster recovery en bedrijfscontinuïteit in één geïntegreerd systeem. Dit betekent dat bedrijven niet alleen hun data veilig kunnen stellen, maar…

Een nieuwsbrief

Superlogisch toch?