Ict-beveiliger Fox-IT is op 19 september 2017 zelf slachtoffer geworden van een cyberaanval. Het gaat om een zogenoemde 'man in the middle-aanval' waarbij criminelen toegang hadden tot de server voor de uitwisseling van beveiligde bestanden tussen klanten en het bedrijf. Nu de beveiliger het lek volledig geanalyseerd heeft, deelt het de details.
In een blog over het incident meldt het bedrijf dat op 19 september 2017 een aanvaller toegang heeft verkregen tot de dns-records voor het domein Fox-IT.com dat bij een derde partij, de domain registrar, is ondergebracht.
Erik de Jong en Frank Groenewegen van Fox-IT delen dat de aanvaller in eerste instantie het dns-record voor een specifieke server heeft aangepast en dit vervolgens heeft laten wijzen naar een server waar de aanvaller zelf de controle over had. ‘Dit met als doel om zo het netwerkverkeer te onderscheppen en daarna door te sturen naar de oorspronkelijke server die aan Fox-IT toebehoort. Dat type aanval wordt een ‘man in the middle-aanval’ genoemd.’
Volgens Fox-IT was de aanval specifiek gericht op ClientPortal, de webapplicatie die het gebruikt om op veilige wijze bestanden uit te wisselen met klanten, leveranciers en andere organisaties.
De buit
De aanval heeft 10 uur en 24 minuten geduurd. Tijdens de aanval hebben negen gebruikers ingelogd. Volgens Fox-IT zijn twaalf bestanden, waarvan tien unieke documenten, uitgewisseld en onderschept. ‘Van deze bestanden waren drie vertrouwelijk, maar geen enkele was staatsgeheim. Bestanden die als staatsgeheim zijn gerubriceerd worden nooit uitgewisseld middels ClientPortal. Andere bestanden waren gekenmerkt als publiek en niet vertrouwelijk van aard’, somt het bedrijf op.
De beveiliger meldt verder dat alle betrokken klanten met betrekking tot de bestanden onmiddellijk zijn ingelicht. ‘Eén mobiel nummer is onderschept. De betroffen persoon is geïnformeerd. Een deel van de namen en emailadressen van ClientPortal-gebruikers is onderschept.’
Wachtwoord uit 2013
Opvallend is dat een ongewijzigd wachtwoord, één van de mogelijkheden is waardoor het lek plaatsvond. Fox-IT: ‘Ons wachtwoord was niet gewijzigd sinds 2013 en dat heeft de aanvaller mogelijk geholpen. Hoewel ons wachtwoord sterk is en bestand tegen ‘brute force’-aanvallen, was het niet gewijzigd omdat het zelden gebruikt werd: over het algemeen worden dns-instellingen zelden aangepast. Dat neemt niet weg dat dit duidelijk iets is dat wij hadden kunnen verbeteren in ons werkproces.’
Over het tijdstip waarop Fox-IT het incident uit de doeken doet, meldt de beveiliger: ‘We delen nu informatie over dit incident, omdat we er zeker van zijn dat we voldoende duidelijkheid hebben over de details. Het politieonderzoek loopt echter nog. Uiteindelijk geloven wij dat transparantie in zaken als deze meer vertrouwen geeft dan geheimzinnigheid en we delen graag de lessen die we getrokken hebben uit dit incident. Zowel positieve als negatieve.’
