Reeds hebben een aantal klanten en bekende van ons al eens gevraagd weten jullie wat er nu precies op de TU in Eindhoven is gebeurt? Reden genoeg om een aantal eerdere nieuwsberichten samen te pakken en jullie mee te nemen in deze gebeurtenissen.

Op zondag 12 januari werd het netwerk van TU Eindhoven (TU/e) getroffen door een hack. De universiteit moest noodgedwongen het eigen netwerk offline halen, wat resulteerde in een herstelperiode van een week. Hoewel de daders nog onbekend zijn, is hun werkwijze inmiddels wel duidelijk: gestolen inloggegevens werden verkregen via infostealers. Maar hoe kan zoiets gebeuren?

TU/e werkt samen met beveiligingsbedrijf Fox-IT om het incident te onderzoeken. Volgens De Volkskrant kwamen de hackers binnen via gestolen inloggegevens, die ook in criminele data voorkwamen, waaronder loggegevens van infostealers. Andere onderwijsinstellingen zijn op de hoogte gebracht, en de Radboud Universiteit Nijmegen heeft al extra authenticatiemaatregelen genomen om zich te beschermen tegen cyberdreigingen.

De vroege fase van de ‘killchain’

Hackers proberen voortdurend via verschillende digitale achterdeuren netwerken binnen te dringen. Zero-days (nog niet ontdekte kwetsbaarheden) en niet-gepatchte diensten zijn de meest voor de hand liggende routes. Echter, kwaadwillenden geven de voorkeur aan een gemakkelijke toegang via legitieme inloggegevens. Deze ‘voordeur’ van het netwerk biedt aanvallers de mogelijkheid om eenvoudig gegevens te stelen of te versleutelen.

Maar hoe komen hackers aan deze inloggegevens? Methoden zoals gokken en brute-forcing zijn vaak onbetrouwbaar of te traag. Een veel eenvoudigere manier is het kopen van legitieme inloggegevens via het darkweb. Websites zoals het in 2023 neergehaalde Genesis Market fungeerden als een soort alles-in-één winkel voor gevoelige inloggegevens die hackers konden kopen. Dit is echter al een latere fase in wat Lockheed Martin de “Cyber Kill Chain” noemt; er is eerder al iets gebeurd om de data te compromitteren.

Hoe infostealers werken

Infostealers richten zich op het begin van deze killchain en hebben als doel om gevoelige data te stelen. Deze gegevens kunnen variëren: sommige infostealers zijn enkel uit op creditcardinformatie, terwijl andere de browsergeschiedenis willen bemachtigen. In het geval van TU Eindhoven kan het gaan om een gebruikersnaam en wachtwoord. Soms is er meer nodig en combineren infostealers inloggegevens met andere details zoals telefoonnummer, e-mailadres of woonadres.

Deze vorm van malware infiltreert gebruikers via bekende routes: phishingmails, kwaadaardige bijlagen of gecompromitteerde websites. Securitybedrijf Packetlabs concludeert dat de beste infostealers modulair van aard zijn. Ze scannen eerst de omgeving waarin ze terechtkomen, om later specifieke payloads te installeren. Dit minimaliseert de voetafdruk van de malware, oftewel: er is zo min mogelijk bewijs van het bestaan ervan. Idealiter verzendt de infostealer zo klein mogelijke datapakketten over het netwerk naar een Command & Control (C2)-server op afstand met zoveel mogelijk waardevolle digitale goederen.

Volgens het raamwerk van Lockheed Martin is er nog meer werk vereist. Infostealers kunnen zich zonder problemen vestigen in een systeem, maar moeten ook heimelijk contact kunnen leggen met de servers van kwaadwillenden. Ze gelden slechts als een eerste stap in de killchain: backdoors, ongepatchte kwetsbaarheden en zero-days zijn voor verdere exploitatie een vriend van de hacker.

Infostealers zijn in Nederland al goed ingeburgerd. Meer dan 40.000 Nederlanders, vooral IT’ers, zouden ermee geïnfecteerd zijn, volgens onderzoek van RTL Nieuws. Onder hen zou zomaar een medewerker van TU Eindhoven kunnen zitten.

Doelwitten

Deze 40.000 Nederlanders zijn moeilijk te beschermen. Infostealers, net als andere malware, kunnen op allerlei manieren slachtoffers bereiken. Hun methodes zijn sterk afwisselend, met uiteenlopende gevolgen. Zo kan een infostealer informatie stelen via schermopnames, keylogging, overname van een browser, het dumpen van lokaal opgeslagen inloggegevens, het stelen van e-mails of het monitoren van het klembord. Kortom: zodra een infostealer is geïnstalleerd, zijn er allerlei manieren waarop data kan worden buitgemaakt.

Geen gebruiker is veilig, maar de meest waardevolle gegevens voor hackers zijn die van leidinggevenden, IT’ers met veel machtigingen in het netwerk en servicing-accounts. Deze laatste categorie wordt vaak over het hoofd gezien, waardoor detectie niet plaatsvindt of te laat komt. Infostealers richten zich ook regelmatig op bepaalde waardevolle sectoren, zoals het bankwezen of, in het geval van TU/e, op high-tech doelwitten. De eerste prominente infostealer die als zodanig werd omschreven was Zeus in 2007, die allerlei incidenten van fraude en botnets veroorzaakte. Bovendien kon het zichzelf vermenigvuldigen en verspreiden, zoals een klassiek virus.

Awareness

Dit artikel laat zien dat het belangrijk is en blijft om continue bezig te zijn met Cybersecurity Awareness binnen je organisatie. Het delen van dit soort verhalen en het geven van voorbeelden kan een belangrijke eerste stap zijn. Heb je hiermee hulp nodig dan helpen wij je natuurlijk graag. Superlogisch toch?

Bronnen: Techzine en de Volkskrant
Afbeelding: Wikipedia