Het Instituut voor Security en Crisisbeheersing, voorheen bekend als het Crisis Research Team of COT, deed onderzoek naar de cyberaanval op de Hogeschool en de Universiteit van Amsterdam (HvA en UvA). Uit het onderzoek blijkt dat de crisisorganisatie goed werkte en dat mensen van verschillende niveaus goed samenwerkten. Ook werd de bron van de aanval genoemd: een laptop die besmet was met een leerling.
Dit schrijft COT in het evaluatierapport de aanval afslaan. Learning Assessment Cyber Attack Hogeschool van Amsterdam en Universiteit van Amsterdam’.
Hacker heeft HvA- en UvA-netwerk gehackt
In februari waren de HvA en de UvA het doelwit van een cyberaanval. Vervolgens wist een hacker de IT-omgeving van onderwijsinstellingen te infiltreren. Bovendien geeft hij zichzelf meer rechten, waardoor hij in het hele netwerk kan infiltreren. Een paar dagen later (het is 15 februari) merken het Security Operations Center (SOC) van de HvA en de UvA verdachte activiteiten op het netwerk op. Ze zien dat de aanvaller een bestand heeft Wachtwoord spray aanval En proberen de domeincontrollers over te nemen. Men concludeert al snel dat de signalen geschikt zijn voor een ransomware-aanval.
Bij Wachtwoord spray aanval Een hacker probeert een account over te nemen door een veelgebruikt wachtwoord in te voeren. Om te voorkomen dat je betrapt wordt, wordt hetzelfde wachtwoord op meerdere accounts geprobeerd. Als blijkt dat dit wachtwoord bij geen enkel account werkt, schakelt de aanvaller over op een tweede wachtwoord. Als dit ook niet werkt, volgt er een derde wachtwoord, enzovoort, totdat er een match is. Door op deze manier te handelen, vermijdt de overtreder het account te blokkeren en niet opgemerkt te worden.
Studenten en medewerkers wisselen regelmatig wachtwoorden
Het College van Bestuur van zowel het college als de universiteit wordt geïnformeerd over de aanslag. Vanaf dat moment gaat de Centrale Crisisorganisatie functioneren. Onderwijsinstellingen besloten terug te vechten: het sluiten van het netwerk zou grote gevolgen hebben voor de continuïteit van het onderwijs.
In de dagen daarna blijkt dat de aanvaller de inloggegevens en versleutelde wachtwoorden heeft weten te stelen. Het heeft met succes de Active Directory gedownload waar deze gegevens zijn opgeslagen. Hierdoor kan een nieuwe ransomware-aanval worden gelanceerd, of kan de dader besluiten deze informatie te blokkeren. Studenten en medewerkers zijn verplicht hun wachtwoord te wijzigen. Gezamenlijk geven ze gehoor aan deze oproep: in een paar dagen tijd hebben meer dan 100.000 mensen hun wachtwoord gewijzigd.
De cyberaanval is afgeslagen
Ondertussen gaat de strijd tegen de aanvaller door. Op 10 maart geeft het Centraal Crisisteam het sein aan de brandweercommandant. Reparatiewerkzaamheden zullen dan nog enkele weken duren. “Deze aanslag laat maar weer eens zien dat het hoger onderwijs het doelwit is van gerichte aanvallen en dat extra waakzaamheid geboden is”, zei destijds lid van het College van Bestuur van de UvA.
Hanneke Reuling, vicevoorzitter van het College van Bestuur van de HvA, zegt dat onderwijs en wetenschappelijk onderzoek minimaal te lijden hebben gehad van de cyberaanval. Ze benadrukte het belang van leren van de aanval en blijven investeren in informatiebeveiliging.
De Colleges van Bestuur zijn trots op de verregaande samenwerking
“Het COT concludeerde dat veel mensen van de UvA/HvA hebben bijgedragen aan het afslaan van de aanslag”, Wij lezen in het eindrapport. “De betrokken medewerkers bleken experts, mensen uit verschillende disciplines werkten goed samen en er was wederzijds vertrouwen tussen functionarissen op sleutelposities. De interne samenwerking was effectief, geïntegreerd en flexibel. Impact kon worden geminimaliseerd. Nadat UvA/HvA een tegenaanval had ingezet, Hackers hebben hun aanval niet voortgezet en hebben geen data gegijzeld. Investeren in digitale veiligheid en veerkracht blijft essentieel, ook nadat stappen op dit gebied zijn genomen.”
De Colleges van Bestuur zijn de COT-onderzoekers zeer erkentelijk voor de uitgebreide evaluatie. “Dit geeft ons waardevolle aanknopingspunten”, zegt Reuling. Haar collega Linzen beaamt dat en verzekert dat hij trots is op alle medewerkers. “Ik ben heel trots als ik in de beoordeling lees dat de mensen in de organisatie zich zeer professioneel hebben gedragen en dat ze effectief hebben samengewerkt.” Volgens hem blijkt uit de beoordeling dat het “heel duidelijk” is dat onderwijsinstellingen zich nooit veilig kunnen voelen. Naar zijn mening is het belangrijk om de komende periode flink te investeren om de veiligheid naar een hoger niveau te tillen.
Deze aanbevelingen moeten herhaling in de toekomst voorkomen
De bron van de aanval – door de onderzoekers ook wel “Patiënt 0” genoemd – was een besmette laptop van een student. De identiteit van deze student en hoe zijn laptop besmet is geraakt, wordt nergens in het beoordelingsrapport vermeld. Het rapport noemt allerlei veiligheidsmaatregelen op het gebied van preventie, detectie en respons.
Zo is het autorisatieproces in een Citrix-omgeving beveiligd met alleen een gebruikersnaam en wachtwoord. Multifactor-authenticatie ontbreekt. Als dit was ingeschakeld, had de aanval kunnen worden voorkomen. “Authenticatie alleen op basis van een gebruikersnaam en wachtwoord wordt als onveilig beschouwd in een risicovolle omgeving of wanneer de service beschikbaar is via internet”, schreven de onderzoekers.
Het wachtwoord “te veel gebruikers” is zwak. Er is dus een ander wachtwoordbeleid vereist. Het afdwingen van een sterk wachtwoord en het periodiek wijzigen van het wachtwoord zijn hier twee voorbeelden van. Netwerkfragmentatie en segregatie maken het voor aanvallers moeilijk om in te breken in het netwerk. Veel apparaten en systemen zijn voorzien van een openbaar IP-adres en opvraagbare DNS-naam. “DNS-namen onthullen regelmatig de rol van het systeem”, zeggen de onderzoekers. Het is verstandig om het niet meer openbaar te maken.
Verder wordt aanbevolen om voldoende logs aan te maken, het netwerkverkeer continu te monitoren, een endpoint discovery en response (EDR) programma te implementeren om beveiligingsincidenten in een vroeg stadium te detecteren, een incident response plan op te stellen en een back-up- en herstelplan op te stellen.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”