Ook e-mail aan Fox-IT onderschept

De succesvolle man-in-the-middle aanval op Fox-IT heeft niet alleen de webapplicatie voor beveiligde bestandsuitwisseling geraakt. In de voorbereiding op het omleiden van legitiem internetverkeer naar dit ClientPortal van de securityspecialist hebben de aanvallers ook tijdelijk e-mail omgeleid en onderschept.

Jasper BakkerredacteurMeer van deze auteur

Security Operations Center — © Fox-IT

Fox-IT

In de nacht van 19 september zijn tussen vijf over twee ‘s nachts en kwart over twee e-mailberichten bestemd voor Fox-IT ongemerkt in handen van de aanvallers gekomen. “Het specifieke doel hiervan was om te kunnen bewijzen dat de aanvaller de eigenaar was van ons domein tijdens de registratie van een frauduleus SSL-certificaat voor onze ClientPortal”, bloggen security-experts Erik de Jong en Frank Groenewegen van Fox-IT.

Bestanden, naast mail

Zij geven in hun blogpost uitgebreide uitleg over de korte, maar geslaagde aanval op de securityfirma. Hierbij zijn tien verschillende bestanden buitgemaakt, plus nog twee doublures. Drie van de tien bestanden waren vertrouwelijk, maar hierbij was geen enkel bestand van het hoogste niveau ‘staatsgeheim’.

Mogelijk hebben de aanvallers in hun tussenstap van de e-mailonderschepping ook informatie verkregen. Dit zou geen vertrouwelijke of geheime informatie moeten zijn, aangezien Fox-IT daarvoor immers de webapplicatie ClientPortal heeft. Natuurlijk kan er wel vertrouwelijke informatie via e-mails zijn verzonden aan Fox-IT.

‘Verdwenen’

Het gehackte bedrijf kan hierover echter niets zeggen. Dat is niet omdat het politie-onderzoek nog loopt, maar omdat eventuele e-mails in dat tijdsbestek van tien minuten zijn ‘verdwenen’. In tegenstelling tot de MitM-aanval op de webapplicatie is het mailverkeer niet onderschept en door de aanvaller alsnog doorgegeven.

“E-mails zijn niet bij ons aangekomen”, vertelt principal security expert Groenewegen in een telefonische toelichting aan AG Connect. Hierbij zijn er geen logs door te spitten, omdat de succesvolle domeinmanipulatie van de aanvaller ervoor heeft gezorgd dat mails technisch gezien wel zijn aangekomen, alleen dan bij die aanvaller.

Hoe e-mail werkt

Wat verzendende mailservers betreft zijn de berichten dus goed aangekomen; schijnbaar bij de bedoelde ontvanger. Logs met foutmeldingen of mailcaching voor nieuwe bezorgpogingen zijn dan ook niet aan de orde. Het is hierdoor niet mogelijk om te traceren of te inventariseren of en hoeveel mails er zijn buitgemaakt. “Dat is hoe e-mail werkt: decentraal geregeld”, zegt Groenewegen.