Datalek bij politie veroorzaakt door infectie met infostealer-malware
Het datalek bij de politie, waarbij de gegevens van 62.000 medewerkers werden gestolen, is veroorzaakt doordat een politiemedewerker met infostealer-malware besmet raakte, zo stelt securitybedrijf Hudson Rock op basis van aangetroffen data. Ook de politie heeft laten weten dat infostealer-malware de oorzaak was. Hudson Rock claimt informatie te bezitten over miljoenen met infostealer besmette systemen.
Infostealer-malware is ontworpen om allerlei inloggegevens en andere data van geïnfecteerde systemen te stelen. Bij de aanval op de politie werden vpn-inloggegevens en politie.nl sessiecookies gestolen, wat een pass-the-cookie-aanval mogelijk maakt, zo stelt Hudson Rock in een analyse. Het bedrijf laat in de analyse informatie zien die afkomstig zou zijn van de besmette computer van de politiemedewerker. Bij een succesvolle pass-the-cookie-aanval wordt een actieve sessie van een account overgenomen met de bijbehorende rechten.
De AIVD en MIVD lieten gisteren weten dat de aanval het werk is van een groep genaamd Laundry Bear. "Het datalek bij de Nederlandse politie begon met een infostealer die sessiecookies buitmaakte, waardoor Laundry Bear de authenticatie kon omzeilen en toegang tot het netwerk kreeg. Dit laat een groeiende trend zien: door staten gesponsorde actoren gebruiken infostealers voor high-impact aanvallen. Standaard bescherming zoals multifactorauthenticatie (MFA), kort bruikbare sessietokens en training van personeel hadden dit incident kunnen voorkomen", zo laat het securitybedrijf weten.
Naar aanleiding van de publicatie door de inlichtingendiensten kwam het Nationaal Cyber Security Centrum (NCSC) met advies voor organisaties. Zo wordt onder andere aangeraden om sessiecookies te beheren, phishingbestendige MFA te gebruiken, Endpoint Detectie en Response in te richten en te investeren in bewustwordings- en trainingsprogramma's voor het personeel. Die punten worden ook door Hudson Rock genoemd. Hoe de infectie van de politiemedewerker plaatsvond laat het securitybedrijf niet weten.
De politie kwam gisteren ook met een reactie op de publicatie van de AIVD en MIVD. Volgens de politie werden veel slachtoffers van de groep op een vrij generieke manier gemaakt. "De politie was één van de vele getroffen organisaties van deze hackersgroep", zegt Stan Duijf, hoofd Operatiën bij de eenheid Landelijke Opsporing en Interventies (LO), en verantwoordelijk voor cybercrime bij de politie. Tevens stelt de politie dat diefstal van de benodigde tokens plaatsvond door infostealer-malware.
Dit is het echte probleem in IT beveiliging: het niet kunnen erkennen van de bron van problemen.
Iedereen kan na twee seconden nadenken wel beseffen dat het onverstandig is om zo'n enorm adresboek (GAL) bij iedere gebruiker achter te laten.. Maar laten we vooral focussen op de manier van infectie of welke medewerker het gelekt heeft... Dat lost het probleem in de toekomst wel op.....
NFI kan het niet? Geen ICT Sec bedrijven in Nederland? Het was toch een triviale infostealer attack??
Dit is het echte probleem in IT beveiliging: het niet kunnen erkennen van de bron van problemen.
Eens. Helaas is er veel meer geld te verdienen met oppervlakkige quick fixes en tooltjes. Een durfinvesteerder gaat geen geld stoppen in een structurele cultuur- of organisatieverandering, die wil een schaalbare applicatie met zoveel mogelijk abonnementen. En met de marketingpower van de investeerder (die heeft het trucje al eerder gedaan) wordt de manager/inkoper ervan overtuigd dat het tooltje toch écht de oplossing is voor alle ellende....
NFI kan het niet? Geen ICT Sec bedrijven in Nederland? Het was toch een triviale infostealer attack??
Het helpt om voordat je boos wordt even wat links te volgen en door te laten dringen wat er eigenlijk beweerd wordt. Dat kost vermoedelijk minder energie dan je verontwaardiging ;-).
Dit is het echte probleem in IT beveiliging: het niet kunnen erkennen van de bron van problemen.
Iedereen kan na twee seconden nadenken wel beseffen dat het onverstandig is om zo'n enorm adresboek (GAL) bij iedere gebruiker achter te laten.. Maar laten we vooral focussen op de manier van infectie of welke medewerker het gelekt heeft... Dat lost het probleem in de toekomst wel op.....
NFI kan het niet? Geen ICT Sec bedrijven in Nederland? Het was toch een triviale infostealer attack??
Het helpt om voordat je boos wordt even wat links te volgen en door te laten dringen wat er eigenlijk beweerd wordt. Dat kost vermoedelijk minder energie dan je verontwaardiging ;-).
Er is meestal wel iets meer aan de hand als "grote namen" als AIVD-MIVD opgezadeld worden met de regie met een-twee-drietje in het communicatiedraaiboek. Al zal dat in de VS bij het gros van de profs.amper doordringen, laat staan nagalmen.
Gisteren: oppervlakkige AIVD-MIVD rapportage, vandaag Microsoft die de eigen FBI alsook de Nederlandse diensten voor de samenwerking pluimen in den kont steekt, en dan nog deze, waarbij niet bekend gemaakt is hoe de politiemedewerker besmet raakte met de infostealer die zoveel onrust onder collega's, media en NL politiek heeft veroorzaakt.
NFI kan het niet? Geen ICT Sec bedrijven in Nederland? Het was toch een triviale infostealer attack??
Door een jaar of 5-10 geleden een investering in een NL/EU cloud door gewoon klant te worden van zo'n cloud zou zich dat nu uitbetalen.
Dit is het echte probleem in IT beveiliging: het niet kunnen erkennen van de bron van problemen.
Iedereen kan na twee seconden nadenken wel beseffen dat het onverstandig is om zo'n enorm adresboek (GAL) bij iedere gebruiker achter te laten.. Maar laten we vooral focussen op de manier van infectie of welke medewerker het gelekt heeft... Dat lost het probleem in de toekomst wel op.....
Het idee van een adresboek is het snel kunnen vinden contactgegevens, het zegt niet dat iedere medewerker alle contactgegevens van de gehele organisatie op hun apparaten mee moeten nemen (OAB=Offline Address Book) of op moeten kunnen slaan.
De adresboek implementatie van Microsoft Exchange komt van voor 1997 (eerste keer dat ik het zag was Exchange 5.5). Sindsdien is er niets meer aan gedaan en dit is ook helemaal niet compatible met de AVG..
Maar zoals gezegt, daar hoor je niemand over... Ze kijken niet verder dan hun neus lang is en roepen 'zo werkt een adresboek'....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?