De Russische hackersgroep Clop heeft toegang gekregen tot gegevens van TomTom. Het Amsterdamse navigatiebedrijf bevestigt slachtoffer te zijn geworden van deze cybercriminelen. Volgens een woordvoerder zijn geen gegevens buitgemaakt die een 'negatieve materiële impact kunnen hebben voor TomTom of zijn klanten.' Het bedrijf wil niets zeggen over de aard van de data die in verkeerde handen zijn gekomen. Het lek is gemeld bij de privacy-toezichthouders.
De criminelen maakten gebruik van een lek in Moveit Transfer, een veel gebruikte applicatie voor het delen van bestanden. 261 klanten van softwaremaker Progress, waaronder dus ook TomTom, hebben problemen ondervonden. Begin juni waarschuwde het Nationaal Cyber Security Centrum (NCSC) al voor een kwetsbaarheid in deze software. De kans op misbruik van deze kwetsbaarheid en de mogelijke impact hiervan zijn ingeschat op hoog. Progress heeft een beveiligingsadvies gepubliceerd.
Toegang tot gecompromitteerde systemen en de hierin opgeslagen gegevens vindt mogelijk al plaats sinds 28 mei. De kwetsbaarheid kan mogelijk ook worden misbruikt voor het verkrijgen van beheerdersrechten. De groep achter de Clop-ransomware beweert 82 gigabyte aan bedrijfsgegevens van TomTom te hebben gekaapt. De criminelen dreigen de gestolen data via hun eigen website te publiceren als slachtoffers niet betalen.
Tot de andere slachtoffers van de lek behoren British Airways, omroep BBC, drogisterijketen Boots, Landal (vakantieparken), hotelketen Radisson en Jones Lang LaSalle (vastgoed).
Term negatieve materiële impact klinkt juridisch want uitgaande van wat een uit Russisch sprekende landen opererende hackersgroep claimt hebben ze via een zero-day vulnerability toegang gekregen tot zo’n 85GB aan bedrijfsgegevens waarin met een statistisch grote kans ook persoonsgegevens zitten.
Onder de Russisch sprekende landen valt ook Oekraïne want een financieel gemotiveerde hackersgroep is niet gebonden aan één nationaliteit, ze worden gedreven door een financieel gewin waarbij een gezamelijke taal de samenwerking makkelijker maakt zoals we zien met Engels sprekende landen.
Zero-day vulnerabilities zijn onopgemerkte zwakheden die uitgebuit kunnen worden, ook stilletjes want onze nationale waakhond gaf een alarm uit op basis van signalen over misbruik. 28 mei versus begin juli klinkt als de gemiddelde 40 dagen waarop hackers hun aanwezigheid verraden door ransomware.
‘Geen gegevens buitgemaakt die een ‘negatieve materiële impact kunnen hebben voor TomTom of zijn klanten’. Dat zou betekenen dat, volgens TomTom, zij noch hun klanten door de hack met extra kosten geconfronteerd worden. De vraag is of men dat nu al kan concluderen. Is doxing of spear fishing niet mogelijk met behulp van de bij TomTom gestolen data?
De Russischtalige CLoP (ook CL0p genoemd) is wellicht onderdeel van een grotere groep die met namen als FIN11, TA505 en zeker nog 7 andere namen werkt. CLoP zou o.a. Shell, ING en de Universiteit Maastricht als slachtoffer hebben gemaakt. De geschatte gezamenlijke afperssom voor de honderden grote slachtoffers is bij elkaar zo’n half miljard dollar. De startprijs de dubbele afpersing van een groot bedrijf is bij CloP ca 3 miljoen dollar voor een unieke decryption key. FIN11 zou CLoP software hebben gebruikt en eerder Fortra GoAnywhere Managed File Transfer applicatie en Accellion’s File Transfer applicatie hebben misbruikt om aanvallen uit te voeren, een vergelijkbare methode als bij CLoP. FIN11 lijkt vooral een uitvoerende organisatie te zijn, die grote aantallen slachtoffers kan maken.
CL0p zou theoretisch vanuit de Oekraïne kunnen werken, mede omdat daar ook veel Russischtaligen wonen en de Krim bijna half Russischtalig is door het omvolken door tsaren en communisten. Opvallend daarbij is dat CLoP een IP-adres zou hebben gebruikt dat hoort bij de oostelijke stad Kramatorsk, die tijdelijk in handen van Rusland is geweest. De Oekraïense Nationale Cyberpolitie heeft in juni 2019 leden van CLoP ransomware groep voor witwassen opgepakt en infrastructuur ontmanteld.
Is CLoP Oekraïens of komen alleen wat Russischtalige leden uit Oekraïne? Volgens hun eigen dark web leak site, voert CLoP ransomware aanvallen uit tegen bedrijven en instellingen uit landen die Oekraïne steunen en enkele neutrale landen, maar geen staten van Gemenebest van Onafhankelijke Staten (GOS). Dit is een verband van voormalige Sovjetrepublieken ,waar de Russische Federatie (RF) ook lid van is en waar ze Russisch als gemeenschappelijke (koloniale) taal hebben. CLoP ransomware zou op basis van herkenning van keyboard layout instellingen proberen te voorkomen dat Russischtalige systemen geïnfecteerd worden. Opvallend is ook dat de ransomware actoren CLoP en het Russische FIN11 al lange tijd heel nauw samenwerken en niet over elkaar lekken zoals bij de Conti groep uit Oekraïne is gebeurd, toen de leiding voor Rusland koos na de massale inval van 24 februari 2022. CLoP is dus in ieder geval pro-Russisch, zo niet Russisch.
Mogelijkerwijs heeft CLoP de SQL injection vulnerability in MOVEit al in juli 2021 getest. De CLoP groep heeft pas veel later en in een korte tijd veel grote slachtoffers gemaakt. Het is ongebruikelijk dat criminele ransomware organisaties zoveel geduld tonen. Activiteiten van CLoP leden zijn volgens sommige analisten van Kroll zelfs al te traceren vanaf 2014. Toen gingen groen geüniformeerde (Wagner) vrijwilligers zonder insignes, de Krim veroveren en de Russische geheime diensten GRU en SFB zwaar gewapende separatisteneenheden in Oost-Oekraïne oprichten. Het MH-17 drama was daarvan voor ons één van de gevolgen. Dit en andere zaken duiden erop dat de leden van CLoP ransomware groep voor de RF werken, waarschijnlijk vanuit de RF of andere landen uit de GOS. Daar kunnen ze zich relatief veilig verder ontwikkelen.
Wat kan Jaap toch goed speculeren, alsof hij erbij was…
God zij dank heeft Jaap geen invloed, zulke speculaties kunnen tot radicaliseringen leiden.
Nee Jan, ik kijk gewoon naar de gegevens van CLoP (test- en ontwikkelgroep?), de CLoP-medegebruikers, hun slachtoffers en de adviseurs van de slachtoffers. Daaruit volgen sterke vermoedens en bepaalde verwachtingen.
Maar misschien kan jij als Rusland specialist allerlei bedrijven noemen uit de Russische Federatie, Belarus en de rest van de Gemenebest van Onafhankelijke Staten, die ook slachtoffer van CLoP software zijn geworden. We willen dat graag van je horen.
En misschien kan jij als Rusland kenner ons vertellen waarom CLoP tegen bekende Indiase bedrijven is gebruik? Immers India staat als BRICS-land neutraal tegenover de “speciale operatie” en is voor Poetin extra belangrijk geworden als afnemer van olie? Was dat een bedrijfsongeluk om de malware daar te gebruiken??
Is er trouwens een speciale reden om juist vandaag, 17 juli, Rusland te verdedigen? Je weet dat Malaysia Airlines-vlucht 17 precies 9 jaar geleden door groene mannetjes uit de lucht is geschoten.
Jaap, ik kan op jou verdere tekst slechts antwoorden met een citaat dat me een prof uit mijn studietijd mee gaf:
“to assume makes an ass out of u and me”
Of een financieel gedreven, Russisch sprekende hackersgroep iets met politiek te maken heeft lijkt me wat discutabel. Niets is onmogelijk maar het zijn – zoals Jan zegt – speculaties waarin ik eerder geneigd ben om vanuit de opportuniteit van een 0-day te redeneren. Inspanning afgezet tegen een kans op succes en het risico is meer een economische dan een politieke afweging. Wat betreft het criminele verdienmodel aan de andere kant van de wet bewijzen schurkenstaten keer-op-keer dat ze maar wat graag voor een aandeel in de winst dit soort boeven hun gang laten gaan want de politiek van het geld zorgt voor corruptie.
Een realistisch geopolitiek bewustzijn leert dat bedrijven meer macht hebben dan politieke gezagsdragers omdat ze afhankelijk zijn van de economische opbrengsten die verkregen worden uit ondernemingen. En deze houden zich niet altijd aan de regels als winst boven morele waarden gesteld wordt. De dubbele afpersing gaat om een imago verlies, bijvoorbeeld een negatieve immateriële impact op de beurskoers.
Adviseurs van slachtoffers proberen recht te lullen wat krom is, ‘verschoningsgerechtigde’ probeert het deksel op de doofpot te houden. Iemand die stelt naar modus operandi van een hackersgroep te kijken kan z’n eigen vraag beantwoorden op basis van waarschuwing van NCSC, 0-day gaat vooral om de gebruikers van bepaalde software. Hoe groter de gebruikersgroep, hoe groter de kans op succes.
@Jan, je levert helaas geen enkel (tegen)argument over wie er waarschijnlijk achter de PLoP malware zit en wat hun strategie is (waar het ons vanuit de ICT om gaat). Wat je doet is feiten negeren en het klakkeloos blijven navolgen van de domme oorlogsretoriek van Russische staatsmedia zoals rt.com.
Over denazificeren gesproken. Weet je wel dat Anton Krasovski, “verslaggever” van rt.com, de opmerking heeft gemaakt dat Oekraïense kinderen in de rivier verdronken moeten worden of samen met hun dorpen verbrand moeten worden? Met die koude oorlog agitprop wil je toch niet geafficheerd worden?
De prof uit mijn studietijd zei alles wat ik jullie vertel en leer zal niet altijd geheel kloppen. Jullie moeten leren een betere benadering van de werkelijkheid te vinden en mij verbeteren. Die uitspraak heeft veel meer diepgang dan die pétomane opmerking van jouw prof. (Ik zou in jouw geval gewoon het collegegeld alsnog terugvorderen.)
@Ewout, deze adviseurs zijn security consultants / -analisten van top security bedrijven, die ook ICT-bedrijven zoals Fujitsu helpen om samen security architectuur en – producten bij de klanten te implementeren. Aan adviezen die voor de klant slecht uitpakken, hebben deze adviseurs uiteindelijk ook niks. Ik heb respect voor deze security consultants.
@Jaap, je schijnt veel behoefte te hebben aan het herhalen van jouw radicaliserende uitspraken, daarom ben ik blij dat je geen invloed hebt en slechts een kwaker in het koor van dit soort kikkers bent die geen denkend mens serieus neemt.
Ik zou het overigens op prijs stellen als je niet allerlei uitspraken aan mij toeschrijft die ik niet gedaan heb. Dat is een uiting die ook niet past in het kader van Computable, lees de voorwaarden nog eens.
Het respect van Jaap voor de security consultant is als het applaus voor de zorg in Corona-tijd, je koopt er geen brood voor. Draai de geld(gas)kraan dicht om te kijken waar het gaat lekken want een westerse naïviteit aangaande de 0-days en APT’s vergeet dat er gewoon handel in zit. Gedreven door politiek of geld kun je als security onderzoeker ruchtbaarheid geven aan gevonden kwetsbaarheden – zie responsible disclosure – of deze aan de hoogste bieder verkopen. En voor geld kan men de duivel laten dansen.
“Zero Day Initiative (ZDI) is in het leven geroepen om het rapporteren van 0-day-kwetsbaarheden aan te moedigen door onderzoekers financieel te belonen.”
De ene prof is de andere prof niet maar uiteindelijk zeggen ze hetzelfde, een hypothese zonder bewijs is een aanname. En respect zonder te weten hoe de vork in de steel steekt gaat om onnozele volgzaamheid. Moreel of immoreel gaat het schuldig bij associatie om een klassieke drogredenering welke zo kenmerkend is voor een politieke bestuursstijl. Want agitprop van ontmenselijking als beleid gaat om haatzaaiende polarisatie waarbij we dus moeten denken dat we het kwaad bestrijden door Oekraïne te steunen.
Helaas is het leven niet zwart/wit want er zijn vele tinten grijs door bijvoorbeeld samenwerkingen van Russische sprekende en Engels lezende hackers want de markt aan de andere kant van de wet kent evengoed de outsourcing van arbeid. En er is geen non-proliferatieverdrag wat betreft het verspreiden van kennis, de responsible disclosure gaat grotendeels om het erkennen van fouten. Want het inhuren van een ‘verschoningsgerechtigde’ gaat zoals we eerder zagen bij Nebu om het eigen straatje schoonvegen.
@Ewout, zonder interne of externe security consultants kan Fujitsu geen meter infrastructuur verkopen, of ze nu door Nederlands of Japans sprekende architecten bedacht zijn.
Natuurlijk wordt lang niet alle kennis publiek gemaakt. Dat heeft deels met geldzucht te maken, deels met concurrentie, maar ook met responsible disclosure.
De documenten die ik gezien, geven nog steeds hetzelfde beeld, geheel passend bij wat de GloP makers/-gebruikers zelf zeggen te doen. Dat de Ransom.Clop ontwikkelaars niets met politiek te maken hebben en slechts geld willen via ransomware-as-a-service, is niet erg geloofwaardig. Voor het slachtoffer maakt het natuurlijk niet veel uit wie de .clop bestanden heeft gemaakt, commerciële datarovers, datakapers in een p.p.s. constructie of pure statelijke actoren.
@Jan, ik wijs slechts op de risico’s van gedachten van o.a. rt.com die jij hebt verspreid. Je hebt bijvoorbeeld Oekraïense en Russische tegenstanders van Poetin weinig genuanceerd vergeleken met nazi’s en bijzonder veel begrip getoond voor de Russificatiepolitiek van Poetin. Lees je eigen woorden nog maar eens terug. Ik zou als Nederlander niet willen meekwaken met mensen die een radicale agenda hebben van een Groot-Hongarije, Groot-Oostenrijk, Groot Polen, et cetera. Wie wil een 2e Karin Kneissl zijn?
Gezond toepassen van ICT is lastig, denk aan AI, maar het krijgt in een democratie grotere kans.