image

Volkskrant: inbraak op systemen EMA door phishing en onderschept token

zaterdag 6 maart 2021, 11:19 door Redactie, 14 reacties
Laatst bijgewerkt: 06-03-2021, 13:00

Een inbraak op systemen van het Europees Geneesmiddelenbureau (EMA) in Amsterdam die vorig jaar plaatsvond was mogelijk door phishing en een onderschept token voor het inschakelen van tweestapsverificatie, zo bericht de Volkskrant vandaag op basis van anonieme bronnen.

Het EMA meldde afgelopen december dat erbij de aanval documenten waren gestolen over het coronavaccin van farmaceuten Pfizer en BioNTech. Het ging om documenten met betrekking tot de toelating van het vaccin tot de Europese markt. De gestolen documenten bevatten geen informatie over personen die aan de tests met het vaccin deelnamen. Pfizer en BioNTech stelden dat de aanval geen gevolgen had voor EMA's beoordeling van het vaccin.

Volgens een beschrijving van de Volkskrant verstuurden de aanvallers verschillende spearphishingmails naar EMA-medewerkers die van een collega afkomstig leken. Nadat aangevallen medewerkers op de mail klikten werd er malware geïnstalleerd. Verdere details over de infectiemethode zijn niet gegeven. Via de malware konden de aanvallers, die Russisch zouden zijn, het e-mailverkeer onderscheppen.

EMA had de toegang tot het interne netwerk met tweestapsverificatie beveiligd, waardoor de aanvallers daar in eerste instantie geen toegang toe konden krijgen. Medewerkers van het Geneesmiddelenbureau die toegang tot het netwerk willen moeten eerst tweestapsverificatie inschakelen. EMA verstuurt hiervoor een zip-bestand met een token naar het e-mailadres van de werknemer.

De werknemer opent dit bestand, voert in een app op zijn telefoon de bijbehorende gebruikersnaam en wachtwoord in, en kan zo een apparaat voor tweestapsverificatie toevoegen. De aanvallers zagen dit zip-bestand en onderschepten het. Vervolgens konden ze zo hun eigen apparaat toevoegen. Volgens bronnen die de Volkskrant sprak had EMA een optie uitgeschakeld die voorkomt dat er meerdere tokens voor dezelfde gebruiker worden aangemaakt.

Het viel ook niet op dat een medewerker met meerdere apparaten inlogde en ook de firewalls bij EMA gaven geen melding van verdachte inlogpogingen. Zo konden de aanvallers meer dan een maand op het interne netwerk inloggen. Tijdens een interne audit kwam de inbraak toevallig aan het licht. Een systeembeheerder die de logbestanden bekeek viel het op dat een werknemer erg vaak buiten kantoortijden inlogde.

De aanvallers zouden niet direct geïnteresseerd zijn geweest in de werking van de Pfizer/BioNTech- en Moderna-vaccins, maar meer in welke landen de vaccins zouden afnemen en in welke hoeveelheden.

Reacties (14)
06-03-2021, 11:38 door Anoniem
BioNTech:> ik ben mijn wachtwoord vergeten
EMA:<ik zie je 300 keer gelijktijdig ingelogd?
06-03-2021, 12:06 door Anoniem
Je moet ook nooit een Token versturen via e-mail die behoort tot dezelfde organisatie.
Als men voldoende had gecompartimenteerd, dan was dit nooit gebeurd.
06-03-2021, 12:13 door Anoniem
[rant]
Is het toeval dat Engeland en Israël heel veel Pfizer hebben kunnen verkrijgen. En dat Australië heel veel AstraZeneca heeft kunnen krijgen?

Al deze landen zijn de top op het gebied van spionage. Dus deze drie landen zouden hun kennis over ons kunnen gebruiken om ons helemaal kaal te spioneren.

En onze Grapperhaus en de Jonge doen niets om deze diefstal te voorkomen. Sterker nog, Grapperhaus gaat gewoon door met onze 'geheimen' aan de Five Eyes te 'schenken' en de privacy van de burgers die hij hoort te vertegenwoordigen te schenden. Zelfs nu ze demissionair zijn. Wat on-Nederlands is dat.
[/rant]
06-03-2021, 12:27 door Anoniem
De werknemer opent dit bestand, voert de bijbehorende gebruikersnaam en wachtwoord in, en kan zo een apparaat voor tweestapsverificatie toevoegen.
Voor de volledigheid: het Volkskrantartikel maakt duidelijk dat het invoeren gebeurt in een app op een smartphone, en dat is dan natuurlijk het genoemde apparaat.
06-03-2021, 12:38 door Anoniem
"...konden de aanvallers, die Russisch zouden zijn,.."
Zoals gebruikelijk zonder onderbouwing..
06-03-2021, 13:50 door walmare
Door Anoniem:
De werknemer opent dit bestand, voert de bijbehorende gebruikersnaam en wachtwoord in, en kan zo een apparaat voor tweestapsverificatie toevoegen.
Voor de volledigheid: het Volkskrantartikel maakt duidelijk dat het invoeren gebeurt in een app op een smartphone, en dat is dan natuurlijk het genoemde apparaat.
Was al volledig. De tekst vermeldt "in een app op zijn telefoon"
Er zijn geen details gegeven over de infectiemethode maar het is duidelijk (zoals bijna altijd met windows) een driveby-download infectie.
06-03-2021, 13:54 door walmare
Door Anoniem: "...konden de aanvallers, die Russisch zouden zijn,.."
Zoals gebruikelijk zonder onderbouwing..
Ze wisten op ingenieuze wijze het ip-addres te maskeren en dan nemen ze automatisch aan dat het Russen zijn en in dit geval SVR en niet de GROe omdat het economische spionage zou zijn geweest.
06-03-2021, 14:09 door Anoniem
Door Anoniem: Je moet ook nooit een Token versturen via e-mail die behoort tot dezelfde organisatie.
Als men voldoende had gecompartimenteerd, dan was dit nooit gebeurd.

Mijn bek valt open, een token per mail versturen .... zucht volledig kansloze organisatie.
06-03-2021, 14:12 door Anoniem
Door Anoniem: [rant]
Is het toeval dat Engeland en Israël heel veel Pfizer hebben kunnen verkrijgen. En dat Australië heel veel AstraZeneca heeft kunnen krijgen?

Blijkbaar landen waar men wel aan het nationaal belang denkt , wat meer capabele ambtenaren heeft en bereid is wat meer geld uit te geven.
Is het ook toeval dat Engeland uit de EU gestapt is ? Nee - die zagen dat daar niks beter van worden.


Al deze landen zijn de top op het gebied van spionage. Dus deze drie landen zouden hun kennis over ons kunnen gebruiken om ons helemaal kaal te spioneren.

En wat zien ze dan ? Hoe het NIET moet ...


En onze Grapperhaus en de Jonge doen niets om deze diefstal te voorkomen. Sterker nog, Grapperhaus gaat gewoon door met onze 'geheimen' aan de Five Eyes te 'schenken' en de privacy van de burgers die hij hoort te vertegenwoordigen te schenden. Zelfs nu ze demissionair zijn. Wat on-Nederlands is dat.
[/rant]

Israel is overigens geen deel van de five eyes. Wel met een erg capabele inlichtingdienst .

Erg Nederlands juist . Wat on-Nederlands zou zijn is zeggen "We zitten hier eerst voor het Nederlands belang en de Nederlandse bevolking" .
07-03-2021, 01:14 door Anoniem
Volkskrant staat ook bekend om hun forensische it afdeling.
Dit is gewoon de aivd die een advertentie plaatst.
Die dat weer doet in opdracht van de baas GCHQ of NSA.
Die dat weer doet omdat ZIJ betrapt zijn..
Tis funny because it's true..
07-03-2021, 10:47 door Anoniem
Door Anoniem: Volkskrant staat ook bekend om hun forensische it afdeling.

Volgens mij zuig je dit verzinsel uit je dikke duim.
07-03-2021, 11:51 door Anoniem
Door Anoniem: "...konden de aanvallers, die Russisch zouden zijn,.."
Zoals gebruikelijk zonder onderbouwing..
De onderbouwing: Als ze niet weten wie het waren, dan speculeer je dat het russen en/of chinezen waren.
08-03-2021, 09:25 door Anoniem
Door Anoniem:
Door Anoniem: "...konden de aanvallers, die Russisch zouden zijn,.."
Zoals gebruikelijk zonder onderbouwing..
De onderbouwing: Als ze niet weten wie het waren, dan speculeer je dat het russen en/of chinezen waren.

Zeker niet dat het je vrienden zijn, die bewezen hebben keer op keer dat ze erger zijn dan de 'vijand'..
Dat zou vragen oproepen waarom het uberhaupt onze 'vrienden' zijn, en waarom al onze data daar al jaren ligt in een datacenter genaamd Bumblehive in Utah (VS).
12-05-2021, 10:19 door Anoniem
Hebben ze nu ook de broncode van het Moderna vaccin Operating System kunnen achterhalen?

https://www.modernatx.com/mrna-technology/mrna-platform-enabling-drug-discovery-development
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.