FBI schopt Russische malware uit bedrijfsnetwerken

In de Verenigde Staten heeft het ministerie van Justitie nu bekendgemaakt dat het netwerkapparaten gehackt door de Sandworm-groep in maart heeft gedesinfecteerd. Deze verstoring van het Cyclops Blink-botnet is door de rechtbank geautoriseerd. Reden voor dit ingrijpen is dat er nog veel ongepatchte apparaten waren. Naast firewalls van WatchGuard waren ook netwerkapparaten van Asus dus 'dubbel gehackt'; eerst door Rusland toen door de VS.

Waarschuwen versus 'betreden'

De activiteiten van de Sandworm-hackgroep, ook wel eenheid 74455 of BlackEnergy genoemd, zijn ook in Nederland ontdekt. Hier heeft de militaire inlichtingendienst MIVD begin maart een hackaanval op netwerkrouters verstoord. De MIVD heeft slachtoffers daarover geïnformeerd en sommige van hen gevraagd hun gehackte routers af te staan voor onderzoek.

In de VS hebben Justitie en de FBI verdergaande stappen gezet. Daar zijn geïnfecteerde netwerksystemen 'betreden' door de overheid om de erop draaiende malware te kopiëren voor analyse en vervolgens te verwijderen. Daarbij is ook de configuratie van de firewalls en routers aangepast door poorten voor toegang via internet af te sluiten. De Sandworm-aanvallers zijn daarlangs binnengekomen en zouden zo eventueel ook weer kunnen terugkeren.

Traag patchen

Het botnet en de gebruikte kwetsbaarheden zijn eind februari onthuld, waarbij patches en advies voor het beveiligen van configuraties zijn vrijgegeven. Dit 'tegengif' is samen met firewallfabrikant WatchGuard ontwikkeld door het Britse NCSC (Nationaal Cyber Security Centrum) en de Amerikaanse diensten FBI, Cybersecurity and Infrastructure Security Agency (CISA) en het ministerie van Justitie. Daarna is het aantal kwetsbare apparaten echter met slechts 39% afgenomen, meldt Ars Technica nu. In reactie heeft de Amerikaanse overheid in maart dus zelf direct ingegrepen in geïnfecteerde bedrijfsnetwerken.