5 incidenten met grote impact

Citrix

Op de overgang van 2019 naar 2020 werd een groot lek gevonden in de Application Delivery Controller en Gateway van Citrix, waarmee gebruikers die thuis werken op afstand inloggen op de bedrijfsapplicaties. Bij een wereldwijde scan van Bad Packets bleken meer dan 4500 endpoints van netwerken daarvoor kwetsbaar. 713 daarvan stonden in Nederland. Een patch was niet meteen voorhanden en omdat hackers onder meer al via het lek bij het Medisch Centrum in Leeuwarden binnen waren en de kans op misbruik bijzonder hoog was, adviseerde het NCSC om Citrix-servers volledig af te sluiten. Met als gevolg dat thuiswerken voor veel werknemers en vooral ambtenaren niet meer mogelijk was.

Doordat de patch vrij laat kwam en doordat veel organisaties sowieso zelf laat zijn met het doorvoeren van patches bleek in juni uit een onderzoek van Fox-IT dat meer dan 2000 servers alsnog een backdoor hadden, gecreëerd door hackers. In Nederland vond Fox-IT er in juni nog bij 25 organisaties. Zij hadden het lek gedicht, maar de hackers waren al binnen. Volgens het NCSC hadden 30 organisaties op dat moment nog niet eens de al maanden beschikbare patch doorgevoerd.

Twitter

In juli wisten hackers 45 accounts van bekende Amerikanen als Elon Musk, Kanye West, Bill Gates, Barack Obama en Joe Biden volledig over te nemen. Vanaf deze accounts werden mensen gelokt met meldingen dat ze bijvoorbeeld door 1000 dollar in bitcoin te sturen er voor 2000 dollar terug zouden krijgen. Uiteindelijk leverde dat 120.000 dollar op. De hackers konden de accounts overnemen door met de klantenservice en technische supportafdelingen van Twitter te bellen en de medewerkers daar naar een phishing website te lokken. Dat leverde de Twitter-inlogcodes op van die medewerkers die zeer veel backend-rechten hebben. De hackers kregen vervolgens toegang tot de support accounts en konden daarmee de wachtwoorden van de doelwitten veranderen. Drie verdachten in de VS werden al snel opgepakt.

Garmin

Eind juli waren de GPS-diensten van Garmin bijna vier dagen niet bereikbaar als gevolg van een ransomware-aanval met WasterLocker. Terwijl Garmin in eerste instantie liet weten dat slechts sprake was van een storing, werd al snel duidelijk dat het om een ransomware-aanval ging. Onder meer Garmin Connect, het cloudplatform dat de data van gebruikersactiviteiten synchroniseert ging down, net als grote delen van Garmin.com en de e-mailsystemen en customer call centers. Als gevolg daarvan hadden niet alleen fitnessende consumenten last van de hack, maar ook piloten die de Garmin-producten gebruiken voor onder meer navigatie en positiebepaling. WasterLocker is malware van de Russische organisatie Evil Corp, die zich tijdens de pandemie ook sterk richt op slecht beveiligde thuiswerkers van grote organisaties.

Universiteitsziekenhuis Heinrich Heine in Düsseldorf

In september legde een ransomware-aanval 30 servers plat van het Heinrich Heine Universiteitsziekenhuis in Düsseldorf. Op zich was dit geen opmerkelijke aanval. Maar wat de aanval wel zeer tragisch maakte, is het feit dat een patiënte vrijwel zeker overleed door deze ransomware-aanval. En voor zover bekend is het de eerste keer dat een ransomware-aanval tot de dood van een mens heeft geleid.

Doordat een groot deel van het ziekenhuis – waaronder de spoedeisende zorg - plat lag als gevolg van de ransomware-aanval kon een zwaar zieke vrouw niet terecht in het ziekenhuis in Düsseldorf maar moest ze naar een ziekenhuis een uur verderop in Wüppertal worden gebracht. Zij overleefde dit niet.

De hackers zouden achteraf niet het ziekenhuis maar de Heinrich Heine Universiteit hebben willen aanvallen. Nadat de politie van Düsseldorf contact had opgenomen met de hackers en had uitgelegd dat ze een ziekenhuis hadden gegijzeld, gaven die zowaar een digitale sleutel waarmee alles weer kon worden ontsleuteld.

De hackers maakten voor hun aanval gebruik van de bekende kwetsbaarheid in Citrix in de ADC en Gateway die al sinds december 2019 bekend was en waar ook al enige tijd een patch voor beschikbaar was. Het ziekenhuis had die patches wel geïnstalleerd maar de systemen waren daarvoor al geïnfecteerd waardoor de hackers nog steeds toegang hadden.

SolarWinds

Veruit het meest ingrijpend dit jaar was de hack van SolarWinds. In december werd duidelijk dat de Orion-beheertool van het Amerikaanse SolarWinds gecompromitteerd was.

De hack werd ontdekt doordat beveiliger FireEye erachter kwam dat het zelf was gehackt door Russische criminelen die dit via een supply-chain-attack hadden gedaan. Daarbij wordt een product van een leverancier gecompromitteerd dat in de netwerken van zijn klanten wordt gebruikt. En dat product was de Orion-beheertool van SolarWinds, een bedrijf met 300.000 klanten. 425 van de  Fortune 500-bedrijven gebruiken producten van Solar Winds. En een groot deel van de Amerikaanse overheidsorganisaties ook: Pentagon, NASA, NSA, Justitie, alle 5 grote accountantskantoren, honderden univerisiteiten wereldwijd. De hackers, vrijwel zeker de groep CozyBear, hebben al sinds maart toegang tot Orion, waarmee ze een achterdeur installeerden bij misschien wel 18.000 bedrijven en overheidsorganisaties. De kans dat daar ook Nederlandse bedrijven bij zitten, is zeer realistisch. Het NCSC deed al snel een waarschuwing voor mogelijke besmettingen in Nederland en gaf een zeer hoog risiconiveau aan. Want de achterdeur geeft de hackers de volledige controle over de geïnfecteerde netwerken. En toegang tot zeer veel vertrouwelijke informatie. En ze zitten vrijwel zeker al maanden in de netwerken van zeer veel organisaties en overheden. En ze hebben dus toegang tot zeer veel informatie. Tot nu toe is van enkele tientallen organisaties bekend dat het lek al wordt misbruikt, maar verwacht wordt dat dat bij veel meer gebruikt zal worden. En nu de achterdeur bekend is, zullen veel meer hackers die ook misbruiken. Want dit lek is niet snel verholpen. In feite moet een systeem ervoor totaal nieuw worden opgebouwd. En zelfs dan is niet gegarandeerd dat het veilig is.