Cyberaanval HvA begon op een laptop van een student
De cyberaanval op systemen van de HvA eerder dit jaar, kon ontstaan doordat een student malware downloadde op een laptop. Hoewel de hogeschool besloot terug te vechten, hield men dagenlang rekening met het scenario dat ‘alle schermen op zwart’ zouden gaan.
Een student van de HvA of de UvA installeert op 11 februari een trojan horse op zijn laptop. Dat is malware die zich voordoet als een ander bestand, maar is gericht op het overnemen van de computer. Door die malware krijgt een aanvaller toegang tot de inloggegevens van de student.
62 servers en 10 beheeraccounts geïnfecteerd
Twee aanvallers verkennen daarmee de systemen van de hogeschool en universiteit en krijgen vervolgens door middel van een password spraying attack Een password spraying attack is een aanval waarbij iemand een voorspelbaar wachtwoord (bijvoorbeeld welkom01) gebruikt bij heel veel accounts. Dat doet hij heel vaak achter elkaar met verschillende wachtwoorden. toegang tot een beheeraccount. Vervolgens verspreiden de aanvallers zich door het systeem en weten ze onder meer 62 servers te infecteren en tien beheeraccounts binnen te dringen. Dat doen ze allemaal in de nacht van vrijdag 12 op zaterdag 13 februari.
Het crisisteam kiest ervoor om terug te vechten tegen de aanvallers
‘Pas’ op maandagochtend 15 februari komen medewerkers van de ICT-afdeling daarachter. Daar wordt volgens het rapport goed opgetreden: er wordt snel alarm geslagen, wachtwoorden worden gewijzigd en enkele gecompromitteerde beheeraccounts worden geblokkeerd. Bovendien worden enkele geïnfecteerde servers uitgezet. ‘De aanvallers hebben na de genomen eerste maatregelen door de HvA en UvA geen verdere actie ondernomen,’ schrijft het COT Instituut voor Veiligheids- en Crisismanagement in het rapport.
Het crisisteam kiest ervoor om terug te vechten tegen de aanvallers, met ‘het risico dat de hacker alsnog de data van de HvA en UvA gijzelt’. Tegelijkertijd werkt een team aan een scenario waarin ‘alle schermen op zwart’ gaan.
Database met inloggegevens
Een van de aanvallers heeft in de tussentijd al een kopie van de zogenoemde Active Directory-domeindatabase gemaakt, zo blijkt enkele dagen later. Daarin staan meer inloggegevens als gebruikersnamen, wachtwoordhashesEen wachtwoordhash is een ge-encrypt wachtwoord. Alleen met de encryptiesleutel kunnen aanvallers de wachtwoorden ontgrendelen., telefoonnummers en e-mailadressen. Cyberbeveiligingsbedrijf Fox-IT, dat de HvA tijdens de aanval helpt, denkt daarom dat ‘de aanvallers mogelijk hun aandacht hebben gericht op een ander slachtoffer om mogelijk later terug te keren naar de HvA/UvA’.
Er zouden hogere eisen gesteld moeten worden aan wachtwoorden
Daardoor blijven universiteit en hogeschool weken in crisisstand. Op 23 februari, tien dagen na de eerste aanval op de universiteit, worden alle medewerkers en studenten gemaild: ze moeten hun wachtwoord wijzigen, anders wordt hun account geblokkeerd. Het gaat om 177 duizend wachtwoorden. Intussen meldt Microsoft bij ICT precies in die week dat er een zwakte zit in het mailsysteem van HvA en UvA. Het mailprogramma moet een update krijgen, wat een grote extra belasting betekent voor de ICT-medewerkers .
Uiteindelijk worden alle geblokkeerde servers uitgebreid onderzocht en vervolgens weer online gezet. Op 10 maart geeft de hogeschool het sein ‘brand meester’ af en zeven dagen later werken alle servers weer.
Goede crisisorganisatie
Het volledig uitschakelen van alle systemen bleek achteraf niet nodig, omdat de HvA en UvA – die vrijwel alle ICT-systemen delen – snel en succesvol terugvochten tegen de aanvallers. Uit het rapport blijkt dat de crisisorganisatie van de HvA en UvA goed functioneerde vanwege effectieve samenwerking, onderling vertrouwen en deskundigheid van het personeel.
Toch adviseert het COT dat de instellingen meer moeten doen aan cyberveiligheid. Zo zouden er hogere eisen gesteld moeten worden aan wachtwoorden, zou er tweefactor-authenticatie moeten worden ingevoerd en zou er meer moeten worden geïnvesteerd in opsporing van ongebruikelijkheden. De hogeschool en universiteit zeggen dit mee te nemen in het ‘Verbeterplan Informatiebeveiliging’.
Bekijk hier het hele evaluatierapport.