logo (1)logo
Support

Hackers infiltreren netwerk van TU Eindhoven: Hoe kon dit gebeuren?

tue, atlas, hoofdgebouw, den dolech 2 5600 mb eindhoven

Reeds hebben een aantal klanten en bekende van ons al eens gevraagd weten jullie wat er nu precies op de TU in Eindhoven is gebeurt? Reden genoeg om een aantal eerdere nieuwsberichten samen te pakken en jullie mee te nemen in deze gebeurtenissen.

Op zondag 12 januari werd het netwerk van TU Eindhoven (TU/e) getroffen door een hack. De universiteit moest noodgedwongen het eigen netwerk offline halen, wat resulteerde in een herstelperiode van een week. Hoewel de daders nog onbekend zijn, is hun werkwijze inmiddels wel duidelijk: gestolen inloggegevens werden verkregen via infostealers. Maar hoe kan zoiets gebeuren?

TU/e werkt samen met beveiligingsbedrijf Fox-IT om het incident te onderzoeken. Volgens De Volkskrant kwamen de hackers binnen via gestolen inloggegevens, die ook in criminele data voorkwamen, waaronder loggegevens van infostealers. Andere onderwijsinstellingen zijn op de hoogte gebracht, en de Radboud Universiteit Nijmegen heeft al extra authenticatiemaatregelen genomen om zich te beschermen tegen cyberdreigingen.

De vroege fase van de ‘killchain’

Hackers proberen voortdurend via verschillende digitale achterdeuren netwerken binnen te dringen. Zero-days (nog niet ontdekte kwetsbaarheden) en niet-gepatchte diensten zijn de meest voor de hand liggende routes. Echter, kwaadwillenden geven de voorkeur aan een gemakkelijke toegang via legitieme inloggegevens. Deze ‘voordeur’ van het netwerk biedt aanvallers de mogelijkheid om eenvoudig gegevens te stelen of te versleutelen.

Maar hoe komen hackers aan deze inloggegevens? Methoden zoals gokken en brute-forcing zijn vaak onbetrouwbaar of te traag. Een veel eenvoudigere manier is het kopen van legitieme inloggegevens via het darkweb. Websites zoals het in 2023 neergehaalde Genesis Market fungeerden als een soort alles-in-één winkel voor gevoelige inloggegevens die hackers konden kopen. Dit is echter al een latere fase in wat Lockheed Martin de “Cyber Kill Chain” noemt; er is eerder al iets gebeurd om de data te compromitteren.

Hoe infostealers werken

Infostealers richten zich op het begin van deze killchain en hebben als doel om gevoelige data te stelen. Deze gegevens kunnen variëren: sommige infostealers zijn enkel uit op creditcardinformatie, terwijl andere de browsergeschiedenis willen bemachtigen. In het geval van TU Eindhoven kan het gaan om een gebruikersnaam en wachtwoord. Soms is er meer nodig en combineren infostealers inloggegevens met andere details zoals telefoonnummer, e-mailadres of woonadres.

Deze vorm van malware infiltreert gebruikers via bekende routes: phishingmails, kwaadaardige bijlagen of gecompromitteerde websites. Securitybedrijf Packetlabs concludeert dat de beste infostealers modulair van aard zijn. Ze scannen eerst de omgeving waarin ze terechtkomen, om later specifieke payloads te installeren. Dit minimaliseert de voetafdruk van de malware, oftewel: er is zo min mogelijk bewijs van het bestaan ervan. Idealiter verzendt de infostealer zo klein mogelijke datapakketten over het netwerk naar een Command & Control (C2)-server op afstand met zoveel mogelijk waardevolle digitale goederen.

Volgens het raamwerk van Lockheed Martin is er nog meer werk vereist. Infostealers kunnen zich zonder problemen vestigen in een systeem, maar moeten ook heimelijk contact kunnen leggen met de servers van kwaadwillenden. Ze gelden slechts als een eerste stap in de killchain: backdoors, ongepatchte kwetsbaarheden en zero-days zijn voor verdere exploitatie een vriend van de hacker.

Infostealers zijn in Nederland al goed ingeburgerd. Meer dan 40.000 Nederlanders, vooral IT’ers, zouden ermee geïnfecteerd zijn, volgens onderzoek van RTL Nieuws. Onder hen zou zomaar een medewerker van TU Eindhoven kunnen zitten.

Doelwitten

Deze 40.000 Nederlanders zijn moeilijk te beschermen. Infostealers, net als andere malware, kunnen op allerlei manieren slachtoffers bereiken. Hun methodes zijn sterk afwisselend, met uiteenlopende gevolgen. Zo kan een infostealer informatie stelen via schermopnames, keylogging, overname van een browser, het dumpen van lokaal opgeslagen inloggegevens, het stelen van e-mails of het monitoren van het klembord. Kortom: zodra een infostealer is geïnstalleerd, zijn er allerlei manieren waarop data kan worden buitgemaakt.

Geen gebruiker is veilig, maar de meest waardevolle gegevens voor hackers zijn die van leidinggevenden, IT’ers met veel machtigingen in het netwerk en servicing-accounts. Deze laatste categorie wordt vaak over het hoofd gezien, waardoor detectie niet plaatsvindt of te laat komt. Infostealers richten zich ook regelmatig op bepaalde waardevolle sectoren, zoals het bankwezen of, in het geval van TU/e, op high-tech doelwitten. De eerste prominente infostealer die als zodanig werd omschreven was Zeus in 2007, die allerlei incidenten van fraude en botnets veroorzaakte. Bovendien kon het zichzelf vermenigvuldigen en verspreiden, zoals een klassiek virus.

Awareness

Dit artikel laat zien dat het belangrijk is en blijft om continue bezig te zijn met Cybersecurity Awareness binnen je organisatie. Het delen van dit soort verhalen en het geven van voorbeelden kan een belangrijke eerste stap zijn. Heb je hiermee hulp nodig dan helpen wij je natuurlijk graag. Superlogisch toch?

Bronnen: Techzine en de Volkskrant
Afbeelding: Wikipedia

Recent blogs

AI act
Blog
De AI Act: wat is er veranderd sinds augustus 2025?
ICT wordt simpeler en menselijker ook als het gaat om kunstmatige intelligentie (AI). Met de komst van de Europese AI Act moeten organisaties in Europa zorgvuldiger omgaan met AI-toepassingen. De wet wordt in fases ingevoerd en sinds 2 augustus 2025 gelden er nieuwe verplichtingen. Wat is er veranderd en wat betekent dit voor uw organisatie? Wat hield de eerste fase in? In februari 2025 ging de eerste fase van de AI Act van start. De focus lag toen vooral op: Bewustwording en basiskennis van AI in organisaties. Het vermijden van verboden AI-toepassingen (de categorie onacceptabel risico). Het onderstrepen dat niet…
microsoft 365 copilot
Blog
Maak uw werk makkelijker met Microsoft Copilot: concrete voorbeelden
ICT is soms complex, maar technologie kan ook juist veel eenvoudiger maken. Een mooi voorbeeld daarvan is Microsoft Copilot. Deze slimme assistent zit verwerkt in de Microsoft 365-apps die u waarschijnlijk al dagelijks gebruikt: Outlook, Word, Excel, Teams en meer. Copilot helpt u om sneller te werken, tijd te besparen en overzicht te houden. Zeker voor kleine bedrijven is dat waardevol, want daar is de werkdruk vaak hoog en zijn er weinig handen. Wij zetten de belangrijkste voordelen én concrete voorbeelden op een rij. Wat is Microsoft Copilot? Copilot is een digitale assistent op basis van kunstmatige intelligentie. Hij “denkt”…
Blog
Belangrijke wijziging vanaf 1 november: Microsoft 365 / Office 365 licenties splitsen in pakketten mét en zonder Teams
Sinds kort heeft Microsoft aangekondigd dat er per 1 november 2025 een ingrijpende wijziging plaatsvindt in de manier waarop je Microsoft 365 en Office 365 licenties kunt afnemen. Voor organisaties betekent dit meer keuzevrijheid en de mogelijkheid om te besparen mits je weet wat de gevolgen zijn. Wat verandert er precies? Microsoft gaat de bestaande pakketten opdelen in varianten met Teams en zonder Teams.   Voor elk abonnement wordt aangegeven wat het prijsverschil is tussen de versie met Teams en de versie zonder.   Teams blijft ook beschikbaar als zelfstandige dienst via gespecialiseerde abonnementen zoals Teams Essentials en Teams Enterprise.   Microsoft belooft nieuwe hulpmiddelen om data uit Teams te exporteren…

A newsletter

Superlogic right?