Maandenlang gehackte gemeente deelt extern onderzoeksrapport

"Deze technische informatie dient als doel om andere organisaties de mogelijkheid te bieden zich te beschermen tegen deze specifieke aanvallen", meldt de gemeente waar cybercriminelen zo'n tweeënhalve maand lang binnen waren. De conclusies en aanbevelingen van securitybedrijf Hunt & Hackett zijn openlijk in te zien, met nog wel een kleine slag om de arm. "In deze rapportage is informatie die door publicatie een bedreiging kan vormen voor de (digitale) veiligheid van de Gemeente Buren, en/of voor personen werkzaam bij of voor de Gemeente Buren, dan wel in belang van het opsporingsonderzoek geanonimiseerd", begint het vrijgegeven rapport (PDF).

Via VPN begonnen

De geanonimiseerde informatie omvat onder meer gebruikersnamen (die zijn omgezet in generieke aanduidingen als GN1) en specifieke internetadressen die een risico kunnen vormen voor de veiligheid en integriteit van het gemeentenetwerk (deze zijn aangegeven als URL). Het rapport wordt aangeboden compleet met de unieke hash-waarden van het gepubliceerde PDF-bestand, zodat de integriteit van dat document valt te verifiëren.

De succesvolle hackaanval heeft op 18 januari cybercriminelen toegang gegeven tot het netwerk van de gemeente Buren. Dat is op die datum gebeurd door een legitiem VPN-account te misbruiken. "Het is op basis van het beschikbare onderzoeksmateriaal echter niet vast te stellen hoe de aanvaller aan de inloggegevens is gekomen van dit account", valt te lezen in het onderzoeksrapport. De gemeente heeft tegenover de onderzoekers van Hunt & Hackett aangegeven dat het de inloggegevens van dat account niet beheert.

"Hoe het mogelijk is geweest dat de aanvaller op 18 januari 2022 in één keer inlogt met het account is niet vast te stellen op basis van het beschikbare onderzoeksmateriaal", vervolgt het rapport. Afgelopen maand is al wel bekend geworden dat deze initiële toegang tot de gemeentelijke ICT-omgeving is gelopen via een IT-leverancier van de gemeente. Het nu vrijgegeven rapport zet uiteen hoe die VPN-toegang toen is benut om verder door te dringen: via RDP (Remote Desktop Protocol) is verbinding gemaakt met de Domain Controller en de bestandsserver van de gemeente.

Beheerdersrechten op bestandsserver

Op de Domain Controller heeft de aanvaller toen een beheerdersaccount gecompromitteerd en daarmee de hoogst mogelijke rechten op die Windows-server verkregen. Dit is volgens het rapport mogelijk gedaan door middel van een offline-uitgevoerde bruteforce-aanval. "Daarnaast heeft de aanvaller op zowel de DC als op de bestandsserver meerdere programma’s geïnstalleerd om aanvullende informatie over de netwerkinfrastructuur te verzamelen, alsmede ten behoeve van data-extractie."

Dat stelen van data is gedurende ongeveer een maand gedaan, met het programma MEGAsync van de bekende cloudopslagdienst MEGA die ooit is opgezet door de beruchte hacker Kim Dotcom. Die clientapplicatie voor opslagsynchronisatie is eind februari geïnstalleerd op de gecompromitteerde bestandsserver. Dit heeft ervoor gezorgd dat de aanvaller grote hoeveelheden data heeft kunnen exfiltreren naar een extern MEGAsync IP-adres.

Na deze datadiefstal hebben de cybercriminelen op 1 april hun versleuteling van systemen gestart, zodat de eerste fase van hun drievoudige afpersing kon beginnen. Een werknemer van de gemeente Buren heeft op 2 april contact opgenomen met Hunt & Hackett via de 24/7 Incident Response Hotline vanwege deze ransomware-aanval. Op dat moment waren er 12 systemen versleuteld, waardoor de dienstverlening van Buren was stilgelegd.

Drievoudige afpersing

"In de eerste fase van het incident heeft de focus vanuit de gemeente voornamelijk gelegen op mitigatie en herstel, om de impact voor de burger zoveel mogelijk te minimaliseren", vermeldt het rapport. De dag na de incidentmelding hebben de security-onderzoekers vastgesteld dat de aanvaller bekend staat als een specifieke, nu niet onthulde threat actor waarvan bekend is dat die gebruik maakt van drievoudige afpersing. De eerste afpersmethode is ransomware, de tweede is een DDoS-aanval, en de derde is dreigen met een datalek (vrijgeven van gestolen gegevens).

"Om die reden is na de ransomware-aanval door de gemeente op advies van Hunt & Hackett direct (aanvullende) DDoS-protectie ingeregeld. De impact van de eerste twee methoden kon adequaat worden gemitigeerd, voor zover bekend heeft een DDoS-aanval niet plaatsgevonden", aldus het rapport. Dat gold echter niet voor de derde methode waarbij de threat actor 126 GB aan data heeft gepubliceerd. Dit betrof slechts een deel van de in totaal 5 TB die de aanvallers claimen in handen te hebben.

"Op het moment dat het incident voor de Gemeente Buren zichtbaar werd, was het kwaad daarmee al geschied. Welke informatie er precies is ontvreemd en gepubliceerd valt buiten de scope van dit onderzoek. Dit is onderdeel van een onderzoek uitgevoerd door Hoffmann." Na de fase van mitigatie en herstel heeft Hunt & Hackett forensisch sporenonderzoek verricht op het beschikbare onderzoeksmateriaal om de root cause van het incident vast te stellen.

IOC's, hunting queries, detectieregels

Naast het onderzoeksrapport wordt nu nog meer nuttige informatie gedeeld. Via securitybedrijf Hunt & Hackett zijn aanvullende documenten te vinden, die openbaar op ontwikkelplatform GitHub staan. Dit betreft een lijst met indicators of compromise (IOC's, om te bepalen of een organisatie is gehackt), hunting queries (om sporen van de gebruikte aanvalstechnieken te vinden), en detectieregels (om eventueel aanwezige aanvallers en hun technieken te ontdekken). "Het doel van het delen van de waargenomen aanvalsstappen is om andere organisaties hulpmiddelen te bieden om een mogelijke aanval van de threat actor te kunnen detecteren", aldus Hunt & Hackett.