Overslaan en naar de inhoud gaan

FBI schopt Russische malware uit bedrijfsnetwerken

De FBI heeft zich op afstand toegang verschaft tot netwerkapparaten die waren geïnfecteerd door cybercriminelen met Russische staatsbanden. De Amerikaanse politiedienst heeft die systemen opgeschoond, als tegenaanval voor het daarop draaiende botnet dat stiekeme hackaanvallen faciliteert. In Nederland heeft de MIVD vorige maand al tegenmaatregelen genomen tegen deze Russische hackgroep.
FBI
© Shutterstock
Shutterstock

In de Verenigde Staten heeft het ministerie van Justitie nu bekendgemaakt dat het netwerkapparaten gehackt door de Sandworm-groep in maart heeft gedesinfecteerd. Deze verstoring van het Cyclops Blink-botnet is door de rechtbank geautoriseerd. Reden voor dit ingrijpen is dat er nog veel ongepatchte apparaten waren. Naast firewalls van WatchGuard waren ook netwerkapparaten van Asus dus 'dubbel gehackt'; eerst door Rusland toen door de VS.

Waarschuwen versus 'betreden'

De activiteiten van de Sandworm-hackgroep, ook wel eenheid 74455 of BlackEnergy genoemd, zijn ook in Nederland ontdekt. Hier heeft de militaire inlichtingendienst MIVD begin maart een hackaanval op netwerkrouters verstoord. De MIVD heeft slachtoffers daarover geïnformeerd en sommige van hen gevraagd hun gehackte routers af te staan voor onderzoek.

In de VS hebben Justitie en de FBI verdergaande stappen gezet. Daar zijn geïnfecteerde netwerksystemen 'betreden' door de overheid om de erop draaiende malware te kopiëren voor analyse en vervolgens te verwijderen. Daarbij is ook de configuratie van de firewalls en routers aangepast door poorten voor toegang via internet af te sluiten. De Sandworm-aanvallers zijn daarlangs binnengekomen en zouden zo eventueel ook weer kunnen terugkeren.

Traag patchen

Het botnet en de gebruikte kwetsbaarheden zijn eind februari onthuld, waarbij patches en advies voor het beveiligen van configuraties zijn vrijgegeven. Dit 'tegengif' is samen met firewallfabrikant WatchGuard ontwikkeld door het Britse NCSC (Nationaal Cyber Security Centrum) en de Amerikaanse diensten FBI, Cybersecurity and Infrastructure Security Agency (CISA) en het ministerie van Justitie. Daarna is het aantal kwetsbare apparaten echter met slechts 39% afgenomen, meldt Ars Technica nu. In reactie heeft de Amerikaanse overheid in maart dus zelf direct ingegrepen in geïnfecteerde bedrijfsnetwerken.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in