De cyberaanvaller die in januari een aanval uitvoerde op de Technische Universiteit Eindhoven (TU/e) kwam binnen via de log-in van het virtuele private netwerk (vpn) dat geen multifactorauthenticatie (mfa) had. Hij gebruikte wachtwoorden van accounts waarvan bekend was dat deze eerder waren gehackt. Beveiligingssystemen sloegen niet aan toen gebruikers die oude wachtwoorden toch bleven gebruiken. Ook kon de inbreker cruciale gegevens opvragen van een domain controller.
Dat blijkt uit een serie rapporten die de universiteit deelt over de cyberaanval die begin januari van dit jaar het onderwijs een week platlegde doordat de universiteit het netwerk afsloot om te voorkomen dat de indringer zijn gang konden gaan. ‘TU/e had multifactorauthenticatie op de meeste applicaties, maar nog niet op de log-in van het vpn. Dat stond in de planning voor de eerste helft van 2025’, schrijft de universiteit in een persbericht over de rapportages en uitkomsten.
Uit het rapport van Fox-IT dat zijn computer emergency response team (cert) onderzoek liet doen, blijkt dat de aanvaller al op 6 januari het netwerk is ingegaan en op 11 januari werd ontdekt. Fox-IT onderzocht meer dan driehonderd systemen van TU/e en ontdekte dat de dreigingsactor interactie had met 91 van deze systemen. Bij 14 systemen was er sprake van handmatige activiteit, terwijl de overige 77 systemen alleen authenticatieactiviteit vertoonden zonder verdere interactie. ‘Dit past binnen een veelvoorkomend patroon waarin dreigingsactoren toegang verkrijgen tot meerdere systemen, maar zich strategisch richten op een select aantal om hun doelen efficiënt te bereiken’, schrijft het cert van de ict-beveliger in de rapportage. Ook identificeerde het onderzoek vijf gecompromitteerde geprivilegieerde accounts. Twee accounts werden door de dreigingsactor aangemaakt tijdens de cyberaanval om blijvende toegang te behouden. Drie accounts waren legitiem bestaande accounts die waren overgenomen door de aanvaller.
Dader onbekend
Er is geen bewijs gevonden van grootschalige data-exfiltratie. Fox-IT onderzocht dit door onder andere systeemlogs, defender-data en netwerkverkeer te analyseren. Ook een analyse van firewall- en netwerklogs gaf geen indicatie dat grote hoeveelheden data zijn buitgemaakt. Wel is vastgesteld dat er ongeveer 2 GB aan data van TU/e-systemen naar de dreigingsactor is overgedragen. ‘Dit volume komt overeen met normale datastromen die kunnen ontstaan door technische cyberaanvalactiviteiten zoals interactie met externe systemen en het verkennen van netwerkbronnen.’ Het is niet bekend wie er achter de aanval zit, maar gezien de handelswijze, zoals pogingen om de backup-faciliteiten uit te schakelen, zien de onderzoekers dat het waarschijnlijk om een crimineel of bende gaat die losgeld wilde eisen.
De aanpak van het crisisteam om het netwerk offline te halen wordt geroemd omdat deze voorkomen heeft dat aanvallers verder hun gang konden gaan. ‘Op het moment van deze beslissing, in de nacht van zaterdag 11 januari op zondag 12 januari, was er nog geen volledig overzicht van de omvang van de inbreuk. Hierdoor was het moeilijk om met zekerheid de toegang van de dreigingsactor tot het netwerk te verwijderen en de bedreiging op een gedetailleerd niveau te elimineren’, schrijft het cert van Fox-IT. Wel was bekend dat de dreigingsactor voldoende rechten had verkregen om snel aanzienlijke schade aan te richten, zoals datadiefstal en het inzetten van ransomware. Op basis van de uitgebreide ervaring van de ict-beveiliger met soortgelijke incidenten, was het offline halen van het netwerk daarom de beste beschikbare beslissing in die situatie, stellen de onderzoekers. ‘De latere forensische analyse bevestigde deze beoordeling van de dreiging die TU/e op dat moment ondervond.’
Op de vraag of het noodzakelijk was om de TU/e een week offline te houden, antwoorden de onderzoekers dat die tijd het crisisteam en de universiteit de mogelijkheid gaf om zich volledig te richten op het onderzoek naar de cyberaanval en het herstellen van de beveiliging van de organisatie. ‘Als TU/e het netwerk eerder had hersteld, zou het risico dat de dreigingsactor zijn aanval voortzette aanzienlijk groter zijn geweest.’ Ook had een snellere herstart de organisatie gedwongen om tegelijkertijd onderzoek, herstel en beveiliging van systemen en de hervatting van normale operaties uit te voeren. ‘Dit zou de focus hebben verdeeld en mogelijk het totale herstelproces verlengd hebben’, aldus de onderzoekers.
Reactie TU/e
‘Het is fijn om bevestigd te zien dat we goed hebben gehandeld en een stevige weerbaarheid hebben’, reageert TU/e-vicevoorzitter Patrick Groothuis, die destijds het centrale crisisteam leidde. Dat is volgens hem het resultaat van veel investeringen, gestapelde maatregelen en de professionaliteit van medewerkers. ‘Maar de realiteit is dat we toch hackers binnen hadden, waardoor de universiteit een week lang stillag, met flinke gevolgen voor studenten en medewerkers. We nemen de adviezen uit de rapporten dan ook ter harte en blijven investeren in versterking van onze cybersecurity. Het blijft een wapenwedloop waarin je nooit stil kan staan.’
De rapporten van het cert van Fox-IT (management en technisch rapport) en een rapport van het Instituut voor Veiligheids- en Crisismanagement (COT) over het functioneren van de crisisbeheersing, zijn hier te vinden.
