Innovatie & Strategie

Security
ransomware

Maandenlang gehackte gemeente deelt extern onderzoeksrapport

Gemeente Buren openbaart conclusies en aanbevelingen na ransomware en dataroof.

5 juli 2022

Gemeente Buren openbaart conclusies en aanbevelingen na ransomware en dataroof.

Het onderzoek naar de geruchtmakende hackaanval op de gemeente Buren is afgerond en de getroffen gemeente deelt nu publiekelijk het onderzoeksrapport, zodat iedereen er van kan leren. Het rapport is door de Informatiebeveiligingsdienst van de VNG (IBD) gedeeld met alle gemeenten in Nederland en met het Nationaal Cyber Security Centrum (NCSC), maar is nu voor iedereen in te zien.

"Deze technische informatie dient als doel om andere organisaties de mogelijkheid te bieden zich te beschermen tegen deze specifieke aanvallen", meldt de gemeente waar cybercriminelen zo'n tweeënhalve maand lang binnen waren. De conclusies en aanbevelingen van securitybedrijf Hunt & Hackett zijn openlijk in te zien, met nog wel een kleine slag om de arm. "In deze rapportage is informatie die door publicatie een bedreiging kan vormen voor de (digitale) veiligheid van de Gemeente Buren, en/of voor personen werkzaam bij of voor de Gemeente Buren, dan wel in belang van het opsporingsonderzoek geanonimiseerd", begint het vrijgegeven rapport (PDF).

Via VPN begonnen

De geanonimiseerde informatie omvat onder meer gebruikersnamen (die zijn omgezet in generieke aanduidingen als GN1) en specifieke internetadressen die een risico kunnen vormen voor de veiligheid en integriteit van het gemeentenetwerk (deze zijn aangegeven als URL). Het rapport wordt aangeboden compleet met de unieke hash-waarden van het gepubliceerde PDF-bestand, zodat de integriteit van dat document valt te verifiëren.

De succesvolle hackaanval heeft op 18 januari cybercriminelen toegang gegeven tot het netwerk van de gemeente Buren. Dat is op die datum gebeurd door een legitiem VPN-account te misbruiken. "Het is op basis van het beschikbare onderzoeksmateriaal echter niet vast te stellen hoe de aanvaller aan de inloggegevens is gekomen van dit account", valt te lezen in het onderzoeksrapport. De gemeente heeft tegenover de onderzoekers van Hunt & Hackett aangegeven dat het de inloggegevens van dat account niet beheert.

"Hoe het mogelijk is geweest dat de aanvaller op 18 januari 2022 in één keer inlogt met het account is niet vast te stellen op basis van het beschikbare onderzoeksmateriaal", vervolgt het rapport. Afgelopen maand is al wel bekend geworden dat deze initiële toegang tot de gemeentelijke ICT-omgeving is gelopen via een IT-leverancier van de gemeente. Het nu vrijgegeven rapport zet uiteen hoe die VPN-toegang toen is benut om verder door te dringen: via RDP (Remote Desktop Protocol) is verbinding gemaakt met de Domain Controller en de bestandsserver van de gemeente.

Beheerdersrechten op bestandsserver

Op de Domain Controller heeft de aanvaller toen een beheerdersaccount gecompromitteerd en daarmee de hoogst mogelijke rechten op die Windows-server verkregen. Dit is volgens het rapport mogelijk gedaan door middel van een offline-uitgevoerde bruteforce-aanval. "Daarnaast heeft de aanvaller op zowel de DC als op de bestandsserver meerdere programma’s geïnstalleerd om aanvullende informatie over de netwerkinfrastructuur te verzamelen, alsmede ten behoeve van data-extractie."

Dat stelen van data is gedurende ongeveer een maand gedaan, met het programma MEGAsync van de bekende cloudopslagdienst MEGA die ooit is opgezet door de beruchte hacker Kim Dotcom. Die clientapplicatie voor opslagsynchronisatie is eind februari geïnstalleerd op de gecompromitteerde bestandsserver. Dit heeft ervoor gezorgd dat de aanvaller grote hoeveelheden data heeft kunnen exfiltreren naar een extern MEGAsync IP-adres.

Na deze datadiefstal hebben de cybercriminelen op 1 april hun versleuteling van systemen gestart, zodat de eerste fase van hun drievoudige afpersing kon beginnen. Een werknemer van de gemeente Buren heeft op 2 april contact opgenomen met Hunt & Hackett via de 24/7 Incident Response Hotline vanwege deze ransomware-aanval. Op dat moment waren er 12 systemen versleuteld, waardoor de dienstverlening van Buren was stilgelegd.

Drievoudige afpersing

"In de eerste fase van het incident heeft de focus vanuit de gemeente voornamelijk gelegen op mitigatie en herstel, om de impact voor de burger zoveel mogelijk te minimaliseren", vermeldt het rapport. De dag na de incidentmelding hebben de security-onderzoekers vastgesteld dat de aanvaller bekend staat als een specifieke, nu niet onthulde threat actor waarvan bekend is dat die gebruik maakt van drievoudige afpersing. De eerste afpersmethode is ransomware, de tweede is een DDoS-aanval, en de derde is dreigen met een datalek (vrijgeven van gestolen gegevens).

"Om die reden is na de ransomware-aanval door de gemeente op advies van Hunt & Hackett direct (aanvullende) DDoS-protectie ingeregeld. De impact van de eerste twee methoden kon adequaat worden gemitigeerd, voor zover bekend heeft een DDoS-aanval niet plaatsgevonden", aldus het rapport. Dat gold echter niet voor de derde methode waarbij de threat actor 126 GB aan data heeft gepubliceerd. Dit betrof slechts een deel van de in totaal 5 TB die de aanvallers claimen in handen te hebben.

"Op het moment dat het incident voor de Gemeente Buren zichtbaar werd, was het kwaad daarmee al geschied. Welke informatie er precies is ontvreemd en gepubliceerd valt buiten de scope van dit onderzoek. Dit is onderdeel van een onderzoek uitgevoerd door Hoffmann." Na de fase van mitigatie en herstel heeft Hunt & Hackett forensisch sporenonderzoek verricht op het beschikbare onderzoeksmateriaal om de root cause van het incident vast te stellen.

IOC's, hunting queries, detectieregels

Naast het onderzoeksrapport wordt nu nog meer nuttige informatie gedeeld. Via securitybedrijf Hunt & Hackett zijn aanvullende documenten te vinden, die openbaar op ontwikkelplatform GitHub staan. Dit betreft een lijst met indicators of compromise (IOC's, om te bepalen of een organisatie is gehackt), hunting queries (om sporen van de gebruikte aanvalstechnieken te vinden), en detectieregels (om eventueel aanwezige aanvallers en hun technieken te ontdekken). "Het doel van het delen van de waargenomen aanvalsstappen is om andere organisaties hulpmiddelen te bieden om een mogelijke aanval van de threat actor te kunnen detecteren", aldus Hunt & Hackett.

6
Reacties
Joost van der Eijk 09 juli 2022 13:34

Ook hier weer eigen schild dikke bult.
Bij gebruik van de juiste monitoring software was de installatie van niet geautoriseerde software direct opgevallen. Zelfs het uitzetten of omzeilen van de monitoring software was dan opgevallen.
Maar ja, goede monitoring wordt door veel beheerders en management als complex en duur ervaren.
Nu dus een duur en complex resultaat. Een geslaagde hack met alle gevolgen van dien.
Onnodig.

Stef Joosten 07 juli 2022 11:04

Het openbaar maken van dit onderzoeksrapport verdient veel lof. Natuurlijk, het is volgens de Wet Openbaarheid van Bestuur verplicht op dit actief te publiceren, maar dat is nog lang geen gemeengoed in het openbaar bestuur. Daarom mogen we de gemeente Buren gerust op het schild hijsen en als voorbeeld tentoonstellen. Zo kan het ook! Chapeau, gemeente Buren

P.J. Westerhof LL.M MIM 07 juli 2022 01:16

Helemaal eens met Hage.
Maar als ik het artikel lees kan ik mij toch niet aan de indruk onttrekken dat e.e.a. voor het gros van de gemeenten en RIDs te hoog gegrepen is

"Het rapport is door de Informatiebeveiligingsdienst van de VNG (IBD) gedeeld met alle gemeenten in Nederland en met het Nationaal Cyber Security Centrum (NCSC), maar is nu voor iedereen in te zien.
Deze technische informatie dient als doel om andere organisaties de mogelijkheid te bieden zich te beschermen tegen deze specifieke aanvallen"

Logischer lijkt mij om op basis van en in aanvulling op het rapport een generiek actieplan op te stellen door IBD en NCSC. Dat generiek actieplan kan dan vlot worden toegesneden op gemeente/RID en geïmplementeerd, en daarna geaudit.
Alle informatie is nu nog vers, en het voorkomt dat zaken op de lange baan worden geschoven.

Willem Verwijs 06 juli 2022 14:42

In aanvulling op Freds verhaal... is het relevant dat het een beruchte hacker was die het ooit heeft opgezet?

Jasper Bakker 06 juli 2022 09:24

@Fred
Ah, ja, goed punt! Ik heb het even aangepast.

Mvg,
Jasper Bakker
AG Connect

Fred Hage 06 juli 2022 08:50

Prijzenswaardig, deze transparantie van zowel de getroffen gemeente en het onderzoeksbureau. En een helder verhaal. Alleen de beschrijving erin van de cloudopslagdienst MEGA klopt hier van geen kanten: ten eerste is dit allang geen dienst meer van Kim Dotcom (hij startte het als opvolger van Mega-upload maar raakte na de scheiding van zijn vrouw alle aandelen kwijt) en het bedrijf is al jaren in handen van anderen. De enige die deze end-to-end versleutelde cloudopslag verdacht maken zijn Kim zelf en opsporingsinstanties die het niet leuk vinden dat ze geen ontsleuteling van klantdata van MEGA kunnen eisen,omdat alleen de eindgebruiker de sleutels beheert. In de link naar de Techwire-handleiding voor MEGASync in het artikel staat deze info ook al en is het impliciete antwoord op de vraag "Is MeGASync safe?" gewoon "Ja".

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.