image

FBI: bedrijf doelwit van aanval nadat medewerker malafide update installeert

maandag 18 oktober 2021, 11:20 door Redactie, 10 reacties

Een Amerikaans bedrijf is afgelopen augustus doelwit van een aanval geworden nadat een medewerker onbedoeld malware op zijn werksysteem installeerde, zo meldt de FBI. De medewerker bezocht de website van een restaurant die een pop-up toonde dat hij een update voor zijn browser moest installeren om bepaalde features van de site te kunnen gebruiken.

De update bleek in werkelijkheid malware te zijn. Het gedownloade bestand bevatte onder andere Cobalt Strike. Dit is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties en laat aanvallers met besmette systemen communiceren.

Volgens de FBI probeerde de aanvaller via Cobalt Strike informatie over het netwerk en de groepsrechten van het aangevallen bedrijf te verzamelen. Het bedrijf ontdekte de aanval voordat de aanvaller toegang tot klantgegevens of vertrouwelijke informatie kreeg, zo stelt de Amerikaanse opsporingsdienst in een Flash Report dat met Information Sharing and Analysis Centers werd gedeeld.

Reacties (10)
18-10-2021, 12:29 door Anoniem
Ik probeer te ontdekken wat hier nu het nieuws is? Dit gebeurd toch aan de lopende band?
Wat maakt dit speciaal dat de FBI er een bericht over opstelt?
18-10-2021, 12:36 door [Account Verwijderd]
Onbegrijpelijk, onverdedigbaar en heel nonchalant dat het systeembeheer van het betreffende bedrijf ingrijpende wijzigingen in het IT-netwerk van het betreffende bedrijf toestond. (Ik ga er dus vanuit dat deze fout in de rechten is hersteld...), tenzij daar nadrukkelijk om is gevraagd en dit met wederzijdse ratificatie schriftelijk is vastgelegd. Maar dan nog: updaten laat je dan voorbehouden zijn aan ten uiterste een admin en zeker nóóít een gebruiker.
18-10-2021, 13:27 door Briolet
…nadat een medewerker onbedoeld malware op zijn werksysteem installeerde,

Dat is een open deur omdat het nooit de bedoeling is dat je malware installeert (Tenzij je een tester bent). Het installeren van de software gebeurde in elk geval wel bewust.

Verder ook een fout van het bedrijf dat toestaat dat medewerkers zelf ongesigneerde software kunnen installeren.
18-10-2021, 13:29 door MathFox
Goed dat de aanval gedetecteerd werd voordat er significante schade aangericht was.

Door Ard van Wiersum: Onbegrijpelijk, onverdedigbaar en heel nonchalant dat het systeembeheer van het betreffende bedrijf ingrijpende wijzigingen in het IT-netwerk van het betreffende bedrijf toestond. (Ik ga er dus vanuit dat deze fout in de rechten is hersteld...), tenzij daar nadrukkelijk om is gevraagd en dit met wederzijdse ratificatie schriftelijk is vastgelegd. Maar dan nog: updaten laat je dan voorbehouden zijn aan ten uiterste een admin en zeker nóóít een gebruiker.
Als software ontwikkelaar heb ik bij meerdere werkgevers "admin" rechten gehad op mijn werk-pc, vaak zonder daarom te vragen. Je moet als ontwikkelaar met enige regelmaat nieuwe tools installeren, software debuggen, etc. en als je daarvoor iedere keer moet wachten tot een systeembeheerder tijd heeft duurt het project al snel twee keer langer dan nodig.
Eens dat duidelijk gemaakt moet worden dat de werknemers die admin rechten gekregen hebben, daarmee ook verantwoordelijk zijn geworden voor de integriteit van hun systeem; daar ben ik meerdere malen op gewezen.
18-10-2021, 13:47 door Anoniem
Door MathFox: Goed dat de aanval gedetecteerd werd voordat er significante schade aangericht was.

Door Ard van Wiersum: Onbegrijpelijk, onverdedigbaar en heel nonchalant dat het systeembeheer van het betreffende bedrijf ingrijpende wijzigingen in het IT-netwerk van het betreffende bedrijf toestond. (Ik ga er dus vanuit dat deze fout in de rechten is hersteld...), tenzij daar nadrukkelijk om is gevraagd en dit met wederzijdse ratificatie schriftelijk is vastgelegd. Maar dan nog: updaten laat je dan voorbehouden zijn aan ten uiterste een admin en zeker nóóít een gebruiker.
Als software ontwikkelaar heb ik bij meerdere werkgevers "admin" rechten gehad op mijn werk-pc, vaak zonder daarom te vragen. Je moet als ontwikkelaar met enige regelmaat nieuwe tools installeren, software debuggen, etc. en als je daarvoor iedere keer moet wachten tot een systeembeheerder tijd heeft duurt het project al snel twee keer langer dan nodig.
Eens dat duidelijk gemaakt moet worden dat de werknemers die admin rechten gekregen hebben, daarmee ook verantwoordelijk zijn geworden voor de integriteit van hun systeem; daar ben ik meerdere malen op gewezen.
Dan duurt het maar 2 weken langer. Als het een probleem is moeten ze het resource probleem oplossen.
18-10-2021, 13:50 door Anoniem
Door Anoniem: Ik probeer te ontdekken wat hier nu het nieuws is? Dit gebeurd toch aan de lopende band?
Wat maakt dit speciaal dat de FBI er een bericht over opstelt?
En hoe wist de FBI het? Microsoft information sharing?
18-10-2021, 18:48 door Anoniem
Door Anoniem:
Door Anoniem: Ik probeer te ontdekken wat hier nu het nieuws is? Dit gebeurd toch aan de lopende band?
Wat maakt dit speciaal dat de FBI er een bericht over opstelt?
En hoe wist de FBI het? Microsoft information sharing?
Moet haast wel, want dat het Amerikaanse bedrijf zélf de FBI zou kunnen hebben ingeschakeld is natuurlijk een veel te eenvoudige uitleg.
18-10-2021, 22:17 door [Account Verwijderd]
Door MathFox: Goed dat de aanval gedetecteerd werd voordat er significante schade aangericht was.

Door Ard van Wiersum: Onbegrijpelijk, onverdedigbaar en heel nonchalant dat het systeembeheer van het betreffende bedrijf ingrijpende wijzigingen in het IT-netwerk van het betreffende bedrijf toestond. (Ik ga er dus vanuit dat deze fout in de rechten is hersteld...), tenzij daar nadrukkelijk om is gevraagd en dit met wederzijdse ratificatie schriftelijk is vastgelegd. Maar dan nog: updaten laat je dan voorbehouden zijn aan ten uiterste een admin en zeker nóóít een gebruiker.
Als software ontwikkelaar heb ik bij meerdere werkgevers "admin" rechten gehad op mijn werk-pc, vaak zonder daarom te vragen. Je moet als ontwikkelaar met enige regelmaat nieuwe tools installeren, software debuggen, etc. en als je daarvoor iedere keer moet wachten tot een systeembeheerder tijd heeft duurt het project al snel twee keer langer dan nodig.
Eens dat duidelijk gemaakt moet worden dat de werknemers die admin rechten gekregen hebben, daarmee ook verantwoordelijk zijn geworden voor de integriteit van hun systeem; daar ben ik meerdere malen op gewezen.

Ik snap dat. Heus hoor! Maar zou je anno 2021 niet in het algemeen kunnen stellen dat eerder gezond wantrouwen op zijn plaats is dan een Gentlemen's agreement? Dat poneer ik niet ten nadele van jouw door mij veronderstelde integriteit, als je me begrijpt.
Je leest hier vaker dan zo'n 5 jaar geleden hoe er misbruik gemaakt wordt van genoten vertrouwen na bijvoorbeeld: een beëindiging contract IT management. En daar doel ik op: Niet tijden veranderen maar de mens en een algemene tendens in onze samenleving naar een verschraling van vertrouwen.
Jammer!
18-10-2021, 22:55 door Anoniem
Misschien deed de medewerker het wel uit wraak na aangekondigd ontslag (i.v.m. ??).
We weten het niet. In deze wel met Ard eens over ons beperkt inzicht in de zaak.

Als je er zelf niet bij bent geweest, kun je "beter doorlopen" zonder commentaar te geven.

Mensen staan tegenwoordig voor het minste of geringste 'op hun strot'.
Ze zijn de afgelopen negentien maanden niet voor niets over de rooie gejaagd door pers,
overheid en andere bangmakers. En dat geeft gevolgen ook op de arbeidsmarkt.

Kijk naar de huidige benzineprijs, Nederland koploper in de EU.
En de gevreesde "dark winter" staat nog voor de deur.

Geen leuke tijden, folks, helemaal niet dus.

#sockpuppet
19-10-2021, 07:49 door Anoniem
Het argument om *iets* te installeren om de website van een restaurant te bezoeken is natuurlijk al bijzonder zwak.
Dan bezoek je de website van het restaurant gewoon niet. Er zijn vast wel meer restaurants...

Tevens is het raar. Een restaurant heeft er belang bij toegankelijk te zijn. Iets obscuurs op de website past daar niet bij. Daar hadden de alarmbellen al af moeten gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.