Ontwikkelingen cybersecurity

Ontwikkelingen cybersecurity

1. September 2021

   1. In de MaandMonitor van september 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen die in september 2021 hebben plaatsgevonden. Klik op het plusteken naast 'september 2021' hieronder en dan op 'Maandonitor september 2021 TLP-WHITE' om bij de betreffende Maandmonitor uit te komen. Klik op de nieuwe pagina die zich opent op  'Download 'Maandmonitor september 2021 TLP-WHITE' om het document te lezen.

   2. Maandmonitor september 2021

      Maandmonitor september 2021

2. Augustus 2021

   1. In de MaandMonitor van augustus 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen die in augustus 2021 hebben plaatsgevonden. Klik op het plusteken naast 'augustus 2021' hieronder en dan op 'Maandonitor augustus 2021 TLP-WHITE' om bij de betreffende Maandmonitor uit te komen. Klik op de nieuwe pagina die zich opent op  'Download 'Maandmonitor augustus 2021 TLP-WHITE' om het document te lezen.

   2. Maandmonitor augustus 2021

      Maandmonitor augustus 2021

3. Juli 2021

   1. In de MaandMonitor van juli 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen die in juli 2021 hebben plaatsgevonden. Klik op het plusteken naast 'Juli 2021' hieronder en dan op 'Maandonitor juli 2021 TLP-WHITE' om bij de betreffende Maandmonitor uit te komen. Klik op de nieuwe pagina die zich opent op  'Download 'Maandmonitor juli 2021 TLP-WHITE' om het document te lezen.

   2. Maandmonitor juli 2021

      Maandmonitor juli 2021 TLP-WHITE

4. Juni 2021

   1. In de MaandMonitor van juni 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen die in juni 2021 hebben plaatsgevonden. Klik op het plusteken naast 'Juni 2021' hieronder en dan op 'Maandonitor juni 2021 TLP-WHITE' om bij de betreffende Maandmonitor uit te komen. Klik op de nieuwe pagina die zich opent op  'Download 'Maandmonitor juni 2021 TLP-WHITE' om het document te lezen.

   2. Maandmonitor juni 2021

      Maandmonitor juni 2021 TLP-WHITE

5. Mei 2021

   1. In de MaandMonitor van mei 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen die in mei 2021 hebben plaatsgevonden. Klik op het plusteken naast 'Mei 2021' hieronder en dan op 'NCSC MaandMonitor mei 2021 TLP-WHITE' om bij de betreffende MaandMonitor uit te komen. Klik op de nieuwe pagina die zich opent op  'Download 'NCSC MaandMonitor mei 2021 TLP-WHITE'' om het document te lezen. 

   2. MaandMonitor mei 2021

      NCSC MaandMonitor mei 2021 TLP-WHITE

6. April 2021

   1. In de MaandMonitor van april 2021 vindt u de belangrijkste cybersecurity-ontwikkelingen van april 2021. Vanaf heden plaatsen we de MaandMonitor in PDF-format in plaats van in de vorm van webpagina's. De tijdlijn aan MaandMonitors zal straks dus bestaan uit een overzicht van PDF-bestanden. Dus nieuwsgierig naar de laatste ontwikkelingen op cybergebied? Lees dan de laatste MaandMonitor.

   2. MaandMonitor april 2021

      MaandMonitor april 2021 TLP-WHITE

7. Maart 2021

   1. Van zeroday tot ransomware: de kwetsbaarheden in Microsoft Exchange Server

      Op 2 maart 2021 verstuurde het NCSC een high/high-beveiligingsadvies vanwege een urgente Microsoft update die buiten de reguliere patchcyclus viel. Het ging hierbij om een update voor vier kwetsbaarheden, waaronder zerodays, in Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065). Microsoft geeft aan dat deze kwetsbaarheden voor het eerst werden uitgebuit door de actor ‘HAFNIUM’. Beveiligingsbedrijf ESET geeft aan dat vanaf februari tenminste tien verschillende actoren deze kwetsbaarheden misbruikten. Het misbruiken van deze kwetsbaarheden geeft de kwaadwillende toegang tot de Exchange server, waarbij het mogelijk is om willekeurige code met systeemrechten uit te voeren. Het is hierbij onder andere mogelijk om toegang te verkrijgen tot mailboxen, inloggegevens te stelen en accounts aan te maken.
      Internationaal zijn een groot aantal slachtoffers gemaakt, met name in de Verenigde Staten. Ook in Nederland en Duitsland is actief misbruik waargenomen.
      Het NCSC constateerde op 8 maart dat ongeveer 40% van de Nederlandse Microsoft Exchange Servers nog kwetsbaar waren. Inmiddels is het malafide script ‘ProxyLogon’ door iedere kwaadwillende te gebruiken om kwetsbare servers aan te vallen. Daarnaast worden ransomwarevarianten zoals ‘DearCry’ en ‘Black Kingdom’ door criminelen ontwikkeld die daar ook op inspelen.

      Op basis van de huidige beschikbare informatie is het opvallend hoe de diverse zerodays begin dit jaar werden misbruikt door een (mogelijk statelijke) actor en binnen een aantal weken ook door andere actoren werden misbruikt. De motieven van de kwaadwillenden zijn onbekend, maar controle verkrijgen over mailboxen kan bijdragen aan het behalen van strategische doeleinden. Na het bekend worden van de kwetsbaarheden begin maart en het beschikbaar stellen van de patches, stond binnen een week exploitcode online. Dit maakte het vooral voor criminelen een simpele mogelijkheid om nog kwetsbare systemen uit te buiten. Dit werd op 13 maart waargenomen in Oostenrijk met ‘DearCry’ ransomware. Het is voorstelbaar dat in de nabije toekomst op gecompromitteerde systemen ransomware geïnstalleerd wordt voor financieel gewin.

      Het blijft van groot belang voor organisaties om tijdig te patchen en adequaat patchmanagement te hebben geïmplementeerd. Deze casus laat zien dat kwetsbaarheden al heel snel, zelfs binnen een week, kunnen worden misbruikt.

      Het NCSC heeft de Indicators-of-Compromise (IoC’s) gedeeld middels het Nationaal Detectie Netwerk (NDN).

      Het NCSC blijft de ontwikkelingen actief monitoren en waar relevant partijen informeren.

      Als u vermoedt dat uw systeem gecompromitteerd is, neem dan de volgende acties:

             • Laat uw systeem (forensisch) controleren;

             • Controleer uw back-up voorziening;

             • Reset uw wachtwoorden en gebruikersgegevens;

             • Doe aangifte bij de Politie;

             • Overweeg een melding te doen bij de Autoriteit
                Persoonsgegevens;

             • Herstel uw systeem of richt dit opnieuw in.

   2. Beheerinterfaces blijven dankbaar doelwit van aanvallers

      Deze maand zijn er twee high/high-beveiligingsadviezen gepubliceerd voor kwetsbaarheden in VMware ESXi en vSphere en F5 BIG-IP. De meest kritische kwetsbaarheden zoals beschreven in deze beveiligingsadviezen bevonden zich in de zogeheten beheerinterfaces van deze producten. Door het uitbuiten van deze kwetsbaarheden hadden kwaadwillenden volledige controle over de getroffen diensten en daarmee een belangrijk onderdeel van menige infrastructuur.

      Kwaadwillenden zijn significant sneller in het uitbuiten van kwetsbaarheden dan dat organisaties ze kunnen verhelpen, zo stelde ThreatPost vast in december 2019. Het is onverminderd belangrijk om rekening te houden met ‘defense in depth’ bij het ontwerpen van een netwerk of infrastructuur om de schade en impact van een mogelijke compromittatie zo veel mogelijk te beperken.

      NAS-fabrikant QNAP komt met enige regelmaat in het nieuws vanwege kwetsbaarheden in hun software die misbruikt worden. Deze fabrikant heeft recentelijk een handreiking gepubliceerd hoe beheerders deze apparaten beter kunnen beveiligen. In deze handreiking verzoekt de fabrikant ook de afweging te maken of deze apparaten überhaupt aan een publiek netwerk gekoppeld moeten worden.

      In het algemeen zijn de beheerinterfaces uitsluitend toegankelijk voor beheerders, via een beheernetwerk (ook wel "out-of-band netwerk" of "management LAN" genoemd). Deze interfaces mogen dan ook niet toegankelijk zijn vanaf het publieke internet. Maak eventueel gebruik van een VPN-oplossing indien men op afstand beheerwerkzaamheden dient uit te voeren. Zie ook de factsheet “Beveilig apparaten gekoppeld aan internet”.

   3. Wachtwoorden bezorgen organisaties én gebruikers hoofdpijn

      Gedurende de afgelopen maanden zijn er de nodige incidenten geweest waarbij zwakke wachtwoorden een rol hebben gespeeld. Denk bijvoorbeeld aan de hack bij de gemeente Hof van Twente, waarbij aanvallers via het Remote Desktop Protocol toegang hebben gekregen tot een FTP-server die direct aan het internet gekoppeld was. Via het account ‘testadmin’ met het wachtwoord ‘Welkom2020’ hebben aanvallers de hoogste rechten weten te bemachtigen binnen het netwerk, waarmee ze als domein administrator het beheer van het netwerk hebben overgenomen en ransomware hebben geïnstalleerd. Ook de supply chain-aanval op SolarWinds, waarbij een backdoor werd geplaatst in de netwerkmonitoringtool Orion, is mogelijk het resultaat van een zwak wachtwoord, namelijk ‘solarwinds123’. Verder hebben de Universiteit van Amsterdam en de Hogeschool van Amsterdam in maart medewerkers en studenten uit voorzorg verplicht om hun wachtwoorden te wijzigen nadat gehashte wachtwoorden mogelijk waren gestolen, en heeft Microsoft een lek gedicht waarmee aanvallers wachtwoorden konden resetten van single sign-on accounts zonder multifactorauthenticatie.

      Wachtwoorden zijn nog steeds een veelgebruikte vorm van authenticatie. Daarbij worden wachtwoordmanagers aangeraden om een wildgroei aan wachtwoorden in te perken. Toch lijken bewustwordingscampagnes waarin dergelijke beveiligingstips de revue passeren niet te leiden tot daadwerkelijke gedragsverandering. Ook laten gesimuleerde phishing tests een beperkte effectiviteit zien, zeker bij groepen gebruikers die een hoger risico vormen. Dit maakt dat wachtwoorden de achilleshiel vormen van veel systemen, en zoals hierboven geïllustreerd leidt het gebruik van wachtwoorden dan ook geregeld tot incidenten. Er bestaan verschillende technieken die wachtwoorden kunnen aanvullen of zelfs vervangen. Technologie zoals FIDO2 blijkt zeer effectief in het voorkomen van phishing, en de demonstratiewebsite webauthn.io laat zien dat FIDO2 eenvoudig te implementeren is in een webapplicatie. Zie voor aanvullende informatie de factsheet "Gebruik tweefactorauthenticatie" en de expertblog "Wachtwoorden verleden tijd?".

   4. Toename datalekken, ook via derde partijen

      De Autoriteit Persoonsgegevens heeft begin maart de “Rapportage Datalekken 2020” gepubliceerd. Uit de rapportage blijkt dat er een toename van 30% is in meldingen over hacks die gericht zijn op het verkrijgen van persoonsgegevens. De afgelopen maand is er in de media ook bericht over verschillende datalekken. Een opvallend datalek betrof het datalek bij in RDC, een ICT-bedrijf dat diensten biedt aan autogarages, mogelijk een van de grootste Nederlandse datalekken ooit. Volgens de aanvaller zou het gaan om gegevens van 7,3 miljoen personen. RDC is niet de enige ICT-dienstverlener die doelwit was van een aanval de afgelopen maand. Ook Sita (een bedrijf dat de ICT-dienstverlening doet voor luchtvaartmaatschappijen), Ticketcounter en Nuffic zijn de afgelopen maand in het nieuws geweest met supply chain-aanvallen die hebben geleid tot datalekken.

      In januari en februari van dit jaar heeft het NCSC eerder geschreven over supply chain-aanvallen op SolarWinds en specifiek supply chain-aanvallen gericht op softwareomgevingen. Er is toenemende media-aandacht voor supply chain-aanvallen door een aantal incidenten met grote impact die recent aan het licht kwamen.

      Het NCSC adviseert basisbeveiligingsmaatregelen op orde te hebben. Denk hierbij aan het goed inregelen van patchmanagement en het regelen van logging en monitoring om in staat te zijn supply chain-aanvallen te kunnen detecteren.

   5. Overig nieuws Nederland

      Het gebruik van de verplichte open standaarden van de ‘Pas toe of leg uit’-lijst is gestaag toegenomen ■ NWO werd via phishingmail door ransomware getroffen maar kan back-ups herstellen ■ Kantoorapplicaties Google taboe voor overheid ■ Overheid werkt aan plan voor afzwakken encryptie: 'Taak voor nieuw kabinet'  ■ Het Utrechts Archief kampt met ransomware ■ Politie taskforce moet kans op ransomware verkleinen

8. Februari 2021

   1. Politie waarschuwt criminelen tegen misbruik van Nederlandse infrastructuur

      Deze maand is de politie gestart met het plaatsen van berichten op hackerfora, die criminelen dienen af te schrikken misbruik te maken van Nederlandse infrastructuur. Deze proactieve benadering, die zich richt op Engels- en Russischtalige fora, volgt na de internationale operatie ‘Ladybird’. Tijdens die actie vorige maand werd vrijwel de volledige infrastructuur van het Emotet-botnet overgenomen door de politie in een internationaal samenwerkingsverband. Twee van de drie hoofdservers bleken in Nederland te staan. Daarnaast werden deze maand twee eigenaren van een Nederlands hostingbedrijf aangeklaagd vanwege het hosten van servers die gebruikt werden voor het Mirai-botnet.

      Het misbruiken van Nederlandse infrastructuur is aantrekkelijk voor kwaadwillenden, vanwege de hoge kwaliteit en de eenvoud om (anoniem) servers te huren voor malafide doeleinden. Nederland host daarom al jaren bovengemiddeld veel infrastructuur die ingezet wordt voor cybercrime.

      Niet alleen criminelen maken hier gebruik van, maar ook statelijke actoren. Afgelopen maand bracht Argos bijvoorbeeld naar buiten dat een spionagecampagne, die wordt geattribueerd aan Iran, een belangrijke command-and-control-server in Nederland heeft staan. Dat statelijke actoren de Nederlandse infrastructuur misbruiken werd deze maand ook beschreven in het ‘Dreigingsbeeld Statelijke Actoren’. Een product van de NCTV, AIVD en MIVD. Zij schrijven dat onder andere Iran, Noord-Korea en Rusland gebruikmaken van Nederlandse infrastructuur om digitale aanvallen op derde landen uit te voeren.

   2. DDoS-aanvallen op politieke websites

      Op 13 februari werden de websites van de Partij van de Arbeid (PvdA) en van Europarlementariër, tevens kandidaat kamerlid Kati Piri onbereikbaar door een DDoS-aanval. Het NCSC heeft de PvdA in contact gebracht met het cybercrime team van de politie. De partij heeft aangifte gedaan.

      In de periode tot aan de verkiezingen monitort het NCSC op ernstige digitale dreigingen of –incidenten die hierop betrekking hebben. Politieke partijen kunnen bij het NCSC terecht voor advies en ondersteuning. Indien het NCSC over specifieke en relevante ernstige dreigingsinformatie over een partij beschikt, zal het NCSC hierover proactief waarschuwen en adviseren.

      Het NCSC adviseert altijd om aangifte te doen van een DDoS-aanval. Zie voor meer adviezen de factsheets ‘Help! Mijn website is beklad’  en ‘Continuïteit van online diensten’ en de expertblog: De (on)zichtbaarheid van applicatielaag DDoS-aanvallen.

   3. Supplychain aanval door misbruik van software afhankelijkheden

      Een securityonderzoeker is een aantal softwareontwikkelomgevingen van techreuzen zoals Apple en Microsoft binnengedrongen met het demonstreren van een specifiek type supplychain-aanval. De aanval werkte door namen van interne bouwstenen te registreren in publieke softwarerepositories. Servers konden overgehaald worden om, in plaats van de interne bouwstenen, neppakketten uit npm, RubyGems, en PyPI te gebruiken. Dit was mogelijk vanwege een hybride configuratie waarbij componenten uit interne en externe bronnen werden gecombineerd.

      Dit type aanval is al in 2017 geïdentificeerd, en de achterliggende problemen rondom naamgeving in gedistribueerde systemen zijn al veel langer bekend. Het advies van Microsoft is dan ook logisch: zet hybride configuraties om naar één enkele interne bron voor softwarebouwstenen. Ook zijn er, afhankelijk van de gebruikte programmeertaal, verschillende aanvullende workarounds beschikbaar. Verder is het zaak om, bij het uitvoeren van risicomanagement, software supplychain-aanvallen in den brede mee te nemen om het zicht en de sturing op dergelijke risico’s te verbeteren.

   4. Meerdere digitale aanvallen voor financieel gewin

      Internationaal was deze maand de zorgsector regelmatig doelwit van criminelen. Zo werden diverse ziekenhuizen in Frankrijk en België slachtoffer van ransomware. Naar aanleiding van deze aanvallen waarschuwde Z-Cert voor de toename van deze vorm van cybercriminaliteit.

         In Nederland was de onderzoek- en onderwijssector veelvuldig doelwit: onder andere Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) werden getroffen door digitale aanvallen.

       Bij NWO werden servers getroffen en lag het primaire proces stil. Het netwerk en de systemen van ZonMw, organisatie van zorginnovatie en onderzoek, bleven wel functioneren. Na het verlopen van de betalingstermijn zijn de aanvallers begonnen met het vrijgeven van informatie.

      Enkele dagen na de aanval op NWO bleken UvA en HvA doelwit te zijn geworden van een aanval, waarbij kwaadwillenden toegang hadden tot versleutelde wachtwoorden van studenten en medewerkers. Het is hierbij nog onduidelijk om wat voor soort digitale aanval het gaat en of de aanvallers toegang hebben gekregen tot gevoelige informatie.

         Het derde slachtoffer in de onderwijssector werd op de valreep van deze maand bekend. Hogeschool Inholland geeft aan dat 56.000 sets met persoonsgegevens (waaronder e-mail en namen) van personen met een Inholland Moodle-account zijn gestolen en online te koop worden aangeboden.

      Een aantal incidenten van deze maand werd mogelijk gemaakt door middel van een zero-day in Accellion File Transfer Appliance (FTA). Hierbij werd een kwetsbaarheid in de software uitgebuit om data te stelen, losgeld te vragen en indien niet betaald werd, de data op de ‘Clop leak’ site te publiceren. Diverse organisaties, waaronder Geo-databedrijf Fugro met zijn hoofdvestiging in Nederland, overheidsinstellingen in Australië, een bank in Nieuw-Zeeland en een grote winkelketen in de Verenigde Staten werden slachtoffer.

      Ransomware-aanvallen blijven een lucratieve activiteit voor criminelen. Het is voorstelbaar dat zowel het aantal ransomware-aanvallen als de gevraagde losgeld bedragen ook dit jaar zullen toenemen.

      In Nederland lijken onder andere kennisinstituten en onderwijsinstellingen vaker doelwit te zijn. Ransomware-aanvallen in de onderwijssector zijn niet nieuw, in Nederland is de aanval op Universiteit Maastricht eind 2019 een bekend voorbeeld hiervan.

      Data-exfiltratie wordt steeds vaker gecombineerd met een ransomware-aanval. Criminelen creëren hiermee een extra mogelijkheid om geld te verdienen. Als slachtoffers niet willen betalen voor de ontsleuteling van hun bestanden, wordt gedreigd met openbaring van de buitgemaakte data en opnieuw losgeld gevraagd of wordt de data verkocht.

      Het NCSC en Z-CERT hebben beide (beiden alleen voor personen) adviezen uitgebracht over maatregelen tegen ransomware, waaronder het periodiek maken en testen van back-ups en het toepassen van multi-factorauthenticatie.

   5. Overig nieuws Nederland

      AIVD, MIVD en NCTV: toename van spionage bij Nederlandse topsectoren ■ Politie: anonieme simkaarten hinderen aanpak WhatsAppfraude ■ Cybersecurity for 5G: ENISA Releases Report on Security Controls in 3GPP ■ Banken melden kleinere impact van ddos-aanvallen op internetbankieren ■ Inbraak op systeem Assens ziekenhuis mogelijk door fout in firewall ■ Emotet-checker politie bevat inmiddels 4,2 miljoen e-mailadressen ■ Grapperhaus: overheid kan bij digitale dreiging ingrijpen bij aanbieders ■ Logius: geen onveilige situatie met DigiD-aansluiting coronatest.nl ■ SURF: Nederlands onderwijs afhankelijk van klein aantal cloudproviders ■ Cyberaanval op Gelderse scholen: ’Losgeld betaald’ ■ GGD haalt kennisplatform voor zorgpersoneel offline wegens beveiligingslek ■ Autoriteit Persoonsgegevens waarschuwt politieke partijen voor microtargeting

9. Januari 2021

   1. Steeds meer informatie beschikbaar over bredere campagne achter SolarWinds-incident

      In januari werd steeds meer duidelijk over de aanvallen gerelateerd aan het SolarWinds supply chain-incident dat 13 december 2020 aan het licht kwam. FireEye noemt de actor achter de SolarWinds-aanval UNC2452. In december kwam naar voren dat grote softwareleveranciers waren getroffen. In januari kwam daar een aantal leveranciers bij. Zo maakte beveiligingsbedrijf Malwarebytes bekend ook aangevallen te zijn door UNC2452. Malwarebytes gaf aan geen gebruik te maken van SolarWinds-software. Dit illustreert dat niet alleen gebruikers van SolarWinds-software het doelwit zijn van deze actor.
         Eerder gaf onder andere het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) aan andere methoden te onderzoeken waarmee UNC2452 zich toegang verschaft tot netwerken van slachtoffers. Ook het beveiligingsbedrijf Mimecast kreeg te maken met een aan UNC2452-gerelateerd incident. Een digitaal certificaat dat gebruikt wordt in een Mimecast-product voor Office 365 bleek gecompromitteerd. Naast softwareleveranciers bleek in december ook een aantal Amerikaanse overheidsinstellingen doelwit te zijn, in januari zijn er ook binnen deze doelgroep weer nieuwe slachtoffers bij gekomen.

      Bij het NCSC is tot op heden op basis van meldingen gebleken dat een aantal organisaties, die onderdeel zijn van de doelgroep van het NCSC (Rijk en Vitaal), de kwetsbare versie van Orion hadden geïnstalleerd. Op basis van het actuele beeld lijkt er vooralsnog geen sprake van daadwerkelijk misbruik van de kwetsbaarheid bij deze organisaties. De betreffende organisaties hebben tevens bij het NCSC gemeld dat zij inmiddels mitigerende maatregelen hebben genomen, monitoring hebben toegepast en aanvullend onderzoek doen. Het NCSC doet nader onderzoek, staat hierover waar nodig in contact met zijn doelgroep (Rijk en Vitaal), en verleent hen bijstand indien daar aanleiding toe is.

         Onderzoekers hebben deze maand veel nieuwe informatie beschikbaar gesteld over de bredere campagne van UNC2452. Er zijn meer details beschikbaar over de werkwijze van UNC2452, zoals bijboorbeeld gebruikte malware en detectie- en verdedigingsmaatregelen.

      De supply chain-aanval via SolarWinds Orion heeft wereldwijd schade veroorzaakt. Ook wanneer de actor geen verdere acties ondernam kostte het organisaties de nodige inzet om te achterhalen of de kwetsbare versies van Orion met de backdoor in gebruik waren. Als dat het geval was, leidde dat tot verdere acties en onderzoek.

      De campagne van UNC2452 blijkt breder dan alleen het SolarWinds-incident. Deze actor heeft ook andere methoden gebruikt om zich toegang te verschaffen tot de netwerken van slachtoffers, veelal binnen de software supply chain of de Amerikaanse overheid.

      Deze campagne maakt de continue dreiging van supply chain-aanvallen pijnlijk zichtbaar. Dit type software-supply-chain-aanvallen zijn echter niet nieuw. In 2019 werd een soortgelijke aanval ontdekt via ASUS Live Update software (Operation ShadowHammer). In 2017 werd de Petya-malware verspreid via een malafide update van de MEDoc-software. In 2017 werd ook malware verspreid via een malafide versie van de CCleaner-software en werd via software voor bedrijfsnetwerken van NetSarang malware verspreid (ShadowPad).

      Supply chain-aanvallen kunnen lang onder de radar blijven, zoals het SolarWinds-incident aantoont. Regel logging en monitoring in om in staat te zijn supply chain-aanvallen te kunnen detecteren. Hoewel installatie van een backdoor via een software-update van een legitiem product onder de radar kan blijven, kunnen vervolgacties van een actor hiermee mogelijk worden gedetecteerd.

   2. Nationale Politie speelt belangrijke rol bij neerhalen Emotet-Botnet

      In de internationale politieoperatie ‘LadyBird’ onder leiding van Europol zijn de hoofdservers van het Emotet-botnet overgenomen door de politie. In een rechercheonderzoek naar de malware is de gehele infrastructuur van het Emotet-botnet in kaart gebracht, daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. In januari is men erin geslaagd om de Emotet-malware te deactiveren door het overnemen van de controle over het netwerk. Vervolgens wordt op de Nederlandse servers een software-update geplaatst, die door alle geïnfecteerde systemen automatisch opgehaald zal worden. Dit zorgt ervoor dat de Emotet-besmetting in quarantaine wordt geplaatst. Dankzij haar hackbevoegdheid heeft de Nationale Politie de infrastructuur van het Emotet-netwerk kunnen binnendringen om verder onderzoek te verrichten. De politie heeft een Emotet-checker gelanceerd, waarmee consumenten en bedrijven kunnen nagaan of apparaten en netwerken mogelijk besmet zijn geraakt. Het Openbaar Ministerie geeft aan dat er met het neerhalen van het Emotet-botnet een belangrijke slag in de strijd tegen cybercriminaliteit is geslagen. De schade die het Emotet-botnet de afgelopen jaren heeft veroorzaakt loopt wereldwijd vermoedelijk in de honderden miljoenen euro’s.

      Sinds september 2020 hebben zowel het NCSC als diverse andere CERT-organisaties bericht over een toename in spamcampagnes met Emotet-malware. De spammails die werden verspreid bevatten .docx-bestanden als bijlage waarin kwaadaardige macro’s zaten. De additionele malware werd gedownload en geïnstalleerd na het uitvoeren van de macro’s. Emotet is veelal ingezet om inlog-gegevens en financiële gegevens buit te maken.

      Door het fenomeen ‘cybercrime-as-a-service’ kan toegang tot gecompromitteerde systemen aan andere kwaadwillenden worden verkocht. Vervolgens kan een kwaadwillende de toegang gebruiken om bijvoorbeeld ransomware te installeren. Dit maakt dat de gevolgschade van een Emotet-infectie groot kan zijn.

      Controleer of uw systemen mogelijk besmet zijn met Emotet op: https://www.politie.nl/emocheck en https://www.havibeenemotet.com.

   3. E-mail van Finse parlementariërs getroffen digitale aanval

      Het nationale parlement van Finland is het doelwit geweest van een digitale aanval. Daarbij zijn e-mailaccounts van meerdere Finse parlementsleden gecompromitteerd. Dit heeft het Finse parlement in een verklaring laten weten. Volgens een woordvoerder van de Finse Centrale Recherche (KRP) maakt de aanval waarschijnlijk deel uit van een digitale spionagecampagne van een statelijke actor. Er is geen schade aan de infrastructuur van het Parlement vastgesteld. De aanval vond plaats in het najaar van 2020. Rond diezelfde periode vond een vergelijkbare aanval plaats op het Noorse Parlement. Daar heeft de kwaadwillende partij toegang gekregen tot de e-mails en gegevens van een aantal Noorse parlementariërs en parlementaire medewerkers. De Noorse veiligheidsdienst PST heeft die aanval toegeschreven aan de aan Rusland geattribueerde actor APT28.

      De voorbeelden uit Finland en Noorwegen laten zien dat (statelijke actoren) actief proberen binnen te dringen in de systemen die gebruikt door de volksvertegenwoordiging van soevereine staten. Het verkrijgen van politiekgevoelige informatie zou bijdragen aan spionagedoeleinden. Het is ook mogelijk dat de aanvallen deel uitmaken van een ‘hack&leak’ operatie, waarbij wordt gezocht naar informatie die parlementariërs of politieke partijen kan beschadigen. Niet spionage, maar beïnvloeding van verkiezingen of het uitvergroten van maatschappelijke onrust is dan het oogmerk. Bekende voorbeelden daarvan zijn de inbraak bij het partijkantoor van de democratische partij in de Verenigde Staten en de gelekte e-mails van Emmanuel Macron tijdens de Franse presidentiële voorverkiezingen.

      De kans op een geslaagde inbraak wordt kleiner door het in acht nemen van eenvoudige basismaatregelen zoals tijdig installeren van updates, het inschakelen van twee-factor authenticatie, zorgdragen voor goede antivirus- en spamfilters en het maken van periodieke back-ups.

      Wees er bewust van wie er in uw gegevens geïnteresseerd is. Zie bijvoorbeeld de infosheet ‘Kennen wij u ergens van’.

   4. TLS 1.3 aanbevolen voor een toekomstvaste configuratie

      Op 19 januari heeft het NCSC de nieuwe editie van de Transport Layer Security (TLS) beveiligingsrichtlijnen gepubliceerd. De vorige editie van de TLS- richtlijnen stamt uit april 2019. De richtlijnen zijn bedoeld als een advies bij het inkopen, opstellen en beoordelen van configuraties voor het TLS-protocol. TLS is het meest gebruikte protocol voor het beveiligen van verbindingen op internet. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN).

      Configuraties die voldeden aan de richtlijnen uit 2019 (v2.0) voldoen nog steeds in deze update (v2.1). De vernieuwde richtlijnen helpen toekomstvaste TLS-configuraties te maken op basis van TLS 1.3. Het NCSC heeft besloten TLS 1.2 in veiligheidsniveau af te schalen van Goed naar Voldoende. TLS 1.3, een grondige herziening van TLS op basis van moderne inzichten, blijft veiligheidsniveau Goed. Het NCSC beschouwt TLS 1.2 nog steeds als een veilige, maar minder toekomst vaste optie dan TLS 1.3. Bestaande technische voorzieningen, van bijvoorbeeld een aantal jaren oud, ondersteunen niet altijd TLS 1.3. De update van de richtlijnen is een goed moment om uw leverancier te vragen om TLS 1.3 te gaan ondersteunen. Bent u voornemens om technische voorzieningen te vernieuwen dan is het eveneens verstandig om daarbij als eis mee te nemen dat deze nieuwe voorzieningen ook TLS 1.3 ondersteunen

   5. Overig nieuws Nederland

      Ministerie VWS begint gesloten bugbountyprogramma voor Coronamelder ■ Overheid beraadt zich op Kaspersky-ban ■ De Jonge laat centrale vaccinatiedatabase extra beveiligen ■ SURF en Fox-IT gaan hbo’s en universiteiten meer beveiligen tegen cyberaanvallen ■ Lichte stijging van IPv6, StartTLS, DMARC en DNSSEC in .nl-zone ■ Politie: traditionele misdaad kwam in 2020 minder voor, cybercrime juist meer ■ Onderzoek naar cybersecurity laadinfrastructuur elektrische auto’s

10. December 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in december 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Backdoor in SolarWinds Orion

       Het NCSC heeft op 14 december op de website een high/high beveiligingsadvies gepubliceerd over kwetsbaarheden in SolarWinds Orion. Het gaat om versies 2019.4 HF 5, 2020.2 zonder hotfix en 2020.2 HF 1 die verspreid zijn tussen maart en juni 2020. Hier blijkt een trojan in te zitten waarmee kwaadwillenden toegang kunnen verkrijgen tot de systemen waar deze versies op zijn geïnstalleerd.

       De SolarWinds Orion software wordt ook door Nederlandse organisaties gebruikt. Het NCSC onderzoekt, samen met relevante organisaties, wat eventuele gevolgen kunnen zijn. We adviseren om de uitgebrachte updates van SolarWinds Orion zo spoedig mogelijk te installeren.

       Het NCSC raadt aan om de eerder afgegeven adviezen op te volgen als uw organisatie SolarWinds Orion in gebruik heeft. Daarnaast is het raadzaam om logging en monitoring in te regelen om uw organisatie in staat te stellen supplychain-aanvallen te detecteren. Het incident bij SolarWinds toont aan dat deze aanvallen onder de radar kunnen blijven.

       Het NCSC acht het voorstelbaar dat supplychain-aanvallen blijven plaatsvinden waarbij de mogelijke gevolgen ook Nederlandse belangen direct of indirect kunnen raken. Breng in kaart wie uw ICT-leveranciers en ketenpartners zijn. Maak een overzicht van de hard- en softwareproducten inclusief versienummers die in gebruik zijn. Zorg dat uw patchmanagement op orde is.

    3. Ernstige kwetsbaarheid in Zyxel producten

       Netwerkfabrikant Zyxel heeft updates beschikbaar gesteld waarmee een ernstige kwetsbaarheid (CVE-2020-29583)  wordt verholpen. Zyxel brengt met producten als de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX firewalls op de markt die met name populair zijn bij kleine en middelgrote bedrijven. In firmwareversie 4.60 voor de bovengenoemde producten is recent een niet-gedocumenteerd gebruikersaccount aangetroffen met beheerrechten. Dit gebruikersaccount is direct uit de firmware te halen en bevat een wachtwoord dat niet aan te passen is. Door gebruik te maken van dit gebruikersaccount kan een aanvaller bijvoorbeeld inloggen op de SSH-server of webinterface met beheerdersrechten. Hierdoor kan de vertrouwelijkheid, integriteit en beschikbaarheid van het apparaat in gevaar gebracht worden. Zo kan de aanvaller bijvoorbeeld specifieke firewall-instellingen wijzigen, verkeer onderscheppen of VPN-accounts maken om toegang te krijgen tot het netwerk achter het apparaat.

       Indien de kwetsbare producten van Zyxel bij uw organisatie in gebruik zijn, neem dan contact op met uw ICT-dienstverlener. Vraag na of de beschikbare update dis geïnstalleerd. Is dit niet het geval, dan raadt het NCSC aan deze zo spoedig mogelijk te (laten) installeren. De netwerkfabrikant geeft aan dat in april 2021 voor de AP-controllers (NXC2500, NXC5500) een update beschikbaar gesteld wordt. Daarnaast is het aan te raden om SSH en webinterface toegang naar dit soort producten niet beschikbaar te maken via internet of dit te beperken tot een aantal ip-adressen.

       De kans op misbruik van een kwetsbaarheid door een kwaadwillende wordt vergroot naar mate de patch (door de leverancier) of het patchen (door de organisatie zelf) op zich laat wachten.

    4. Backdoors met gevolgen voor de keten

       Organisaties blijven afhankelijk van software- en hardwareleveranciers. Ook de impact van de SolarWinds-casus onderstreept deze maand de risico’s van supplychain-kwetsbaarheden. Op 22 december publiceerde het Amerikaanse Department of Homeland Security (DHS) een waarschuwing over de risico’s van supplychains die afhankelijk zijn van Chinese bedrijven. Afgelopen jaren zijn een tal van veel voorkomende hard- en softwareproducten zoals Zyxel, Fortigate, Crypto AG, Juniper, Asus, Cisco en Avast CCleaner in het nieuws geweest vanwege backdoors.

       De genoemde voorbeelden laten een al langer lopende trend zien van backdoors met gevolgen voor de keten. Dit werd vooral duidelijk door de NotPetya-aanval in juni 2017. Backdoors in hard- en software kunnen flinke impact hebben op een organisatie (c.q. de bedrijfscontinuïteit), hun klanten en samenwerkingspartners.

       Een backdoor kan onopvallend aangebracht worden met de intentie deze opening in een later stadium te misbruiken, meerdere actoren kunnen daar profijt van hebben. Backdoors zijn een risico dat met de toenemende afhankelijkheid van ICT-producten toeneemt. Het is daarom van belang om tijdens een risico-inventarisatie rekening te houden met de aanwezige hard- en softwareproducten in de organisatie en daar patchbeleid voor te hebben.

    5. Het NCSC gaat intensiever informatie uitwisselen en samenwerken met Nederlandse cybersecuritybedrijven

       Het landelijk dekkend stelsel (LDS) is een stelsel waarin publieke en private partijen, zoals CERT’s, sectorale en regionale samenwerkingsverbanden, het NCSC en het Digital Trust Center (DTC), informatie en kennis uitwisselen. Het NCSC fungeert hierbij als een centraal informatieknooppunt. Het NCSC en de NCTV hebben onlangs Cyberveilig Nederland aangewezen als schakelorganisatie binnen het LDS. Cyberveilig Nederland is een brancheorganisatie die de Nederlandse cybersecuritysector vertegenwoordigt. Schakelorganisaties ofwel OKTT's hebben 'objectief kenbaar tot taak' (OKTT) om organisaties of het publiek te informeren over dreigingen en incidenten die voor hen relevant zijn.

       Samenwerking tussen organisaties in een sector, regio of keten is een middel om de digitale weerbaarheid te vergroten. Een dergelijk ecosysteem wordt gekenmerkt door een netwerk van relaties: een groot aantal verschillende groepen – bedrijven, overheden, individuen, processen– die met elkaar samenwerken voor diverse doeleinden. In diverse edities van het NCSC-magazine kwam dit onderwerp eerder ook aan bod. [:26] [:27] De aanwijzing van Cyberveilig Nederland is een belangrijke stap op weg naar een effectief functionerend LDS. Hierdoor wordt intensievere informatie-uitwisseling tussen het NCSC en partijen die zijn aangesloten bij Cyberveilig Nederland mogelijk. Deze bedrijven adviseren en ondersteunen publieke en private organisaties in Nederland op het gebied van cybersecurity en spelen daardoor een cruciale rol in de digitale weerbaarheid van Nederland. Het DTC zit ook in het traject om de taken bij wet vast te laten leggen en aangewezen te worden als OKTT. Indien dat gebeurd is, bestaat er  een wettelijke grondslag, waardoor het NCSC meer informatie met het DTC kan delen. Bijvoorbeeld dreigings- en risico-informatie die mogelijk persoonsgegevens bevatten (zoals ip-adressen). Momenteel is het NCSC wettelijk beperkt in het delen van deze informatie.

    6. Overig nieuws Nederland

       Wetsvoorstel voor verplichte beveiligingsupdates volgend jaar naar Kamer  ■ Keijzer kondigt maatregelen aan tegen telefoonspoofing en sms-phishing ■ Grapperhaus laat effect van encryptie op opsporing onderzoeken ■ Kamervragen over verkiezingssoftware ■ Politie pakt duo op voor bankhelpdeskfraude, phishing en WhatsAppfraude ■ Agentschap Telecom doet aanbevelingen voor beveiligen BGP ■ Uitzendconcern Randstad doelwit van hack in VS en Europese landen ■ EU-raad wil toegang tot versleutelde data met techbedrijven onderzoeken ■ Dutch Government Sees Phishing More Than Double in 2020 ■ Grapperhaus wil zwaardere straffen voor WhatsAppfraude en phishing ■ Cyberaanvallers probeerden in te breken bij Air France-KLM ■ ACM wijst fabrikanten en winkels op informatieplicht bij IoTapparaten ■ Overheid heeft e-mailbeveiliging nog altijd niet overal op orde ■ TU Delft detecteert weinig besmette IoT-apparaten in Nederland ■ Minister: cyberspionage volgend jaar prioriteit van MIVD ■ Banken gaan slachtoffers spoofing met terugwerkende kracht vergoeden ■ Inspectie doet onderzoek naar informatiebeveiliging meldkamers ■ Cyber Security Raad: burgers meer helpen bij cyberweerbaarheid

11. November 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in november 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Opvallende toename overgenomen WhatsApp-accounts bij overheidsorganisaties

       In de afgelopen weken heeft de politie een opvallende toename waargenomen van meldingen en aangiftes met betrekking tot het overnemen van WhatsApp-accounts van medewerkers bij ministeries, gemeenten en andere overheidsorganisaties. Bij deze vorm van WhatsApp-fraude, ook wel vriend-in-nood-fraude genoemd, nemen kwaadwillenden het WhatsApp-account van het slachtoffer over om berichten te kunnen sturen naar contacten. In deze berichten , die afkomstig lijken van een bekende, kan dan om geld worden gevraagd. In deze variant hoeft de kwaadwillende het contact dus niet te overtuigen van ‘het nieuwe telefoonnummer’ wat de bekende zou hebben, zoals in de meest veelvoorkomende vorm van WhatsApp-fraude.

       De intentie van de overnames lijkt gericht op financieel gewin, er zijn geen aanwijzingen dat de kwaadwillenden het bewust hebben gemunt op medewerkers van specifieke (overheids)organisaties. De toename van aangiftes uit deze hoek kan het gevolg zijn van het massaal thuiswerken. Berichtenapps worden veelal gebruikt vanwege de laagdrempeligheid en het gebruikersgemak.
       Het overnemen van WhatsApp-accounts kan gevolgen hebben voor de informatiebeveiliging. Wanneer een WhatsApp-account wordt overgenomen dat zakelijk wordt gebruikt kan dat betekenen dat vertrouwelijke informatie in verkeerde handen terecht komt. Daarnaast kunnen contactgegevens van (belangrijke) contacten worden prijs gegeven.

       Het NCSC raadt aan om een risico-afweging te maken voor het gebruik van berichtenapps voor zakelijke dienstverlening, zie hiervoor de Factsheet “ Kies een berichtenapp voor uw organisatie”. Daarnaast is het rijksbreed beleid om vertrouwelijke, gerubriceerde of privacygevoelige informatie nooit in openbare online diensten te delen of op te slaan. Het rijksbeleid is te vinden in de richtlijn “App met Beleid”. Maak gebruik van de door uw organisatie daarvoor aangewezen kanalen om vertrouwelijke informatie te delen. Maak onderscheid in uw communicatie op zakelijke en privéapparatuur of omgeving. Sla geen zakelijke contactgegevens op in uw privételefoon. En bescherm uw accounts met tweefactorauthenticatie. Zie hiervoor het Factsheet “Gebruik tweefactorauthenticatie”.

       Om het WhatsApp-account over te nemen heeft de kwaadwillende de verificatiecode nodig die naar het toestel wordt gestuurd. Hier vraagt hij om bij het slachtoffer, bijvoorbeeld met de smoes dat deze ‘per ongeluk’ naar het toestel van het slachtoffer is gestuurd. Als het slachtoffer hierin mee gaat, kan het account worden overgenomen en kan het slachtoffer er niet meer bij. De kwaadwillende heeft nu toegang tot alle WhatsApp-chats van het slachtoffer. Bij overheidsorganisaties lijkt deze variant de laatste weken meer voor te komen, zoals bijvoorbeeld het in de media verschenen bericht dat van meerdere gemeentelijke ambtenaren in Den Bosch hun WhatsApp-account was overgenomen. De criminelen vroegen vervolgens om geld bij mensen in de contactenlijst.

    3. Sad DNS; DNS cache poisoning weer inzetbaar als aanvalstechniek

       Onderzoekers hebben een aanvalstechniek gevonden waarmee ‘DNS cache poisoning’-aanvallen opnieuw een dreiging worden. Dit type aanval werd in 2008 door een beveiligingsonderzoeker gepubliceerd en was destijds een grote dreiging omdat het voor internet fundamentele DNS-protocol opeens kwetsbaar bleek. Via deze aanval kan een kwaadwillende een willekeurig ip-adres voor een domeinnaam injecteren in de cache van een DNS-server. Op deze manier worden alle eindgebruikers die gebruik maken van deze DNS-server bij het bezoeken van een domein doorgeleid naar een ip-adres onder controle van een aanvaller. Om deze aanval te verhelpen is onder andere het zogenaamde ‘source port randomization’ toegevoegd aan DNS. De deze maand gepubliceerde aanvalstechniek maakt het mogelijk met behulp van het Internet Control Message Protocol deze maatregel te omzeilen waardoor DNS cache poisoning weer mogelijk is.

       DNS cache poisoning-aanvallen kunnen een grote impact hebben. Door een enkele DNS-server aan te vallen kan een groot aantal eindgebruikers worden doorgeleid naar een malafide server. In tegenstelling tot 2008 is nu niet elke DNS-server kwetsbaar. Volgens de onderzoekers is een derde van alle caching resolvers en een meerderheid van de grote publieke DNS-diensten kwetsbaar. Via de website van de onderzoekers kan worden getest of de DNS-server van de bezoeker van deze website mogelijk kwetsbaar is.
       Om de nieuwe aanvalstechniek te mitigeren moeten patches worden geïnstalleerd voor het onderliggende besturingssysteem. Let op, het gaat dus niet om patches in de DNS-server software.Een structurelere oplossing is de uitrol van het DNSSEC. Dit werd al in 2008 als oplossing aangereikt, maar daadwerkelijke uitrol blijkt een langzaam proces. DNSSEC staat als verplicht op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie.

    4. Ook in tijden van thuiswerken blijven VPNs kwetsbaar

       Een hacker heeft een lijst gepubliceerd met online kwetsbaarheden waarmee credentials kunnen worden ontvreemd van meer dan 49.000 Fortinet VPN apparaten.  De gestolen credentials kunnen worden gebruikt om een netwerk te compromitteren en te versleutelen met ransomware.

       Dat door kwaadwillenden misbruik van dit soort kwetsbaarheden wordt gemaakt is niet nieuw. Vanaf juni 2019 heeft het NCSC vele inspanningen verricht om zijn doelgroepen, partijen binnen het LDS en het brede publiek over deze kwetsbaarheid te informeren, voor misbruik van te waarschuwen en handelingsperspectief te bieden. Dit is onder meer gebeurd in de vorm van beveiligingsadviezen, doelgroepberichten en publicaties op de website.

       Veel organisaties hebben een goed patchbeleid voor systemen die geautomatiseerd zijn te patchen en waar gebruikers als er niet gepatched wordt meldingen krijgen. Netwerkapparatuur, Appliances en embeded systemen krijgen niet altijd dezelfde aandacht.
       Met het op grote schaal thuiswerken is de afhankelijk van VPN verbindingen wel sterk toegenomen. Met het verschijnen van deze lijst kunnen opportunistische aanvallers weer voor schade gaan zorgen. NCSC adviseert bij het patchbeleid nadrukkelijk na te gaan of alle andere apparatuur met een stekker niet ook gewoon op de VPN verbinding thuis hoort. Iedereen die met een minimalistische VPN oplossing tevreden is kan ook OpenVPN-NL overwegen, deze oplossing is door het Nationaal Bureau Verbindingsbeveilging geaudit en goedgekeurd voor Departementaal Vertrouwelijke informatie.

    5. NCSC-NL publiceert “Factsheet 5 adviezen voor veilige inkoop van clouddiensten”

       Publieke clouddiensten zijn in toenemende mate populair onder particulieren en organisaties. Dit is begrijpelijk aangezien clouddiensten vele aantrekkelijke functionaliteiten aanbieden, zoals on-demand beschikbaarheid en een grote schaalbaarheid.  Daarnaast bieden  veel clouddiensten steeds meer veelgebruikte functionaliteiten aan in cloudvariant.  Clouddiensten kunnen een grote functionele aanvulling vormen voor organisaties, mits er afgewogen maatregelen zijn genomen voor de inkoop van clouddiensten.

       In de praktijk besteden vele organisaties functionaliteiten onvoldoende veilig uit aan clouddienstleveranciers. Dit kan leiden tot onbeheersbare risico’s zoals onbedoelde gevoelige gegevens in cloudomgevingen. Veel risico’s zijn na het inkopen nog wel te mitigeren maar voor aantal maatregelen geldt dat deze alleen effectief zijn als ze vooraf getroffen worden. En daarom is het zo belangrijk om daar bij het inkoopproces al op te letten.

       Het NCSC publiceerde in oktober een Factsheet betreffende veilige cloudinkoop. Hierin adviseert het NCSC om geen clouddienst in te kopen zonder vooraf vijf maatregelen te treffen: (1) risicoanalyse, (2) configuratie en monitoring, (3) exitstrategie, (4) functioneel beheer en  (5) audittoegang. Het NCSC adviseert om risico’s van cloudinkoop te mitigeren door vooraf de vijf genoemende maatregelen te treffen.

       Wilt u meer weten over de maatregelen? Lees de factsheet op onze website. Deze factsheet is geschreven voor werknemers die betrokken zijn bij cloudinkoop.

    6. COVID-19 brengt ook spionagerisico’s met zich mee

       Ook deze maand was COVID-19 een veelbesproken thema in de media. In relatie tot cyber was het dit keer vanwege spionagerisico’s van zowel statelijke actoren als van ongenode gasten die, soms zelfs ongezien, digitale vergaderingen konden bijwonen. Het NCSC heeft dit jaar al vaker geschreven over diverse statelijke actoren die voor spionagedoeleinden organisaties hebben aangevallen om misbruik te maken van de COVID-19 situatie. Microsoft heeft aanvallen van Rusland en Noord-Korea geconstateerd op organisaties die bezig zijn met het ontwikkelen van een vaccin tegen COVID-19.
       Daarnaast heeft COVID-19 als gevolg dat veel mensen thuis werken, waarbij veelal gebruik gemaakt wordt van applicaties om videobellen en online vergaderen mogelijk te maken. Cisco heeft drie kwetsbaarheden in Webex Meetings (CVE-2020-3441, CVE-2020-3471, CVE-2020-3419) gevonden die konden zorgen voor ongenode gasten. Deze gasten worden ‘spookparticipanten’ genoemd omdat zij niet zichtbaar zijn op de deelnemerslijst voor de host, hadden zelf wel toegang tot de deelnemerslijst, audio (zelfs na verwijdering uit de vergadering), video en de optie om het scherm te delen. Tijdens een digitaal defensie-overleg in Europese Unie (EU) verband kon een Nederlandse journalist deze online vergadering bijwonen. Het wachtwoord voor dit overleg was te raden, omdat vijf van de zes benodigde cijfers in de URL stonden. Deze URL was zichtbaar op een foto die gepubliceerd was op het Twitteraccount van de minister van Defensie.

    7. Overig nieuws Nederland

       Rekenkamer: thuiswerkende ambtenaren communiceren vaak via onveilige tools ■  50Plus stelt Kamervragen over verzwegen penetratietest Waternet ■  Blok: Nederland spreekt Rusland en China aan op cybergedrag ■  CDA, SP en VVD wil opheldering over inzet optelsoftware bij verkiezingen ■  De Jonge wil CoronaMelder snel met buitenlandse apps laten samenwerken ■  GGD Contact tweede app die bron- en contactonderzoek ondersteunt ■  Ransomware zorgt voor grote storing bij Sportfondsen Nederland ■

12. Oktober 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in oktober 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Actief misbruik van de kritieke kwetsbaarheid Zerologon

       Er was deze maand veel aandacht voor de kritieke kwetsbaarheid Zerologon. Het Nederlandse securitybedrijf Secura ontdekte de kwetsbaarheid in Windows Server. Deze kwetsbaarheid geeft aanvallers de mogelijkheid om hun rechten te verhogen naar domeinbeheerder. In de patchdinsdag van september rolde Microsoft beveiligingsupdates uit voor het beveiligingslek. De afgelopen maand is o.a. door Microsoft en Cisco Talos veel misbruik geconstateerd. De aanvallers combineren kwetsbaarheden in verschillende vpn- en netwerkproducten met de Zerologon-kwetsbaarheid in Windows Server om organisaties aan te vallen. Cisco, Microsoft, de Britse overheid en de Amerikaanse overheid hebben een waarschuwing afgegeven voor actief misbruik.

       De Zerologon kwetsbaarheid (CVE-2020-1472) is een zogenoemde ‘privilege escalation’-kwetsbaarheid en maakt het voor een aanvaller mogelijk om op relatief eenvoudige manier de rechten te verhogen naar domeinbeheerder. De enige vereiste voor het uitvoeren van een aanval is dat de aanvaller vanaf het lokale netwerk de domeincontroller kan benaderen. Accounts met domeinbeheerdersrechten geven volledige controle over het Windowsdomein van een organisatie. Indien domeinbeheerderrechten in verkeerde handen vallen, kan dat grote gevolgen hebben. Er zijn incidenten bekend waarbij een aanvaller de rechten succesvol verhoogde naar domeinbeheerder binnen 2 uur na initiële compromittatie.

       Het NCSC heeft eind september gewaarschuwd voor actief misbruik van deze kwetsbaarheid. Verschillende actoren misbruiken de Zerologon-kwetsbaarheid in combinatie met phishing of met oudere kwetsbaarheden in producten als CitrixNetScaler (CVE-2019-19781), MobileIron (CVE-2020-15505), Pulse Secure (CVE-2019-11510), Palo Alto Networks (CVE-2020-2021) en F5 BIG-IP (CVE-2020-5902). Gezien de dreiging die uitgaat van een ernstige kwetsbaarheid als Zerologon, is het van belang om de basisbeveiligingsmaatregelen niet uit het oog te verliezen. Denk hierbij aan de door het NCSC uitgebrachte adviezen over het goed inrichten van patchmanagement.

    3. DTC waarschuwt voor kwetsbaarheden in Magento

       In diverse media is bericht over actief misbruik van kwetsbaarheden in de Magento-webwinkelsoftware. Begin deze maand zijn er een groot aantal aanvallen gezien op Magento-webwinkels. Het gaat om een kwetsbaarheid in Magento versie 1. Er bleek een lijst te circuleren met 2000 webwinkels die waren voorzien van malware. Deze malware richt zich op het verkrijgen van creditcard- en persoonsgegevens van de klanten. Deze gegevens worden door middel van de malware doorgestuurd naar de aanvaller. Omdat deze specifieke software, Magento versie 1, in juni van dit jaar end-of-life is geworden, wordt deze versie niet langer voorzien van (beveiliging)updates. De laatste beveiligingsupdate door Adobe is uitgerold op 22 juni jl.

       Het NCSC en het Digital Trust Center (DTC) benadrukken opnieuw het belang van het periodiek uitvoeren van beveiligingsupdates. Daarnaast is het ook van belang om actief versiebeheer toe te passen op hard- en software. Dit om het gebruik van niet-ondersteunde software te voorkomen. In het geval van Magento versie 1 software, adviseert het DTC, ongeacht of u slachtoffer bent, direct contact op te nemen met de ict-leverancier of het webhostingbedrijf om deze kwetsbaarheid te bespreken. Omdat het hier gaat om een product dat niet langer wordt onderhouden en betaalgegevens niet langer veilig zijn, adviseert het DTC om uw webshop offline te (laten) halen. Overleg met uw ict-leverancier of webhostingpartij welke vervolgstappen nodig zijn.

    4. Hoger onderwijs ondervindt hinder door digitale afhankelijkheid

       Deze maand bleek dat studenten aan hogescholen en universiteiten in het begin van hun academiejaar hinder ondervinden door de digitale afhankelijkheid. Zo kampte de Universiteit van Amsterdam (UvA) met een technische storing waardoor het inloggen niet lukte en 6000 tentamens niet gemaakt konden worden. In België zijn tien campussen van AP Hogeschool gesloten geweest, nadat een deel van het netwerk besmet was met ransomware. Vanwege Covid-19 vonden veel colleges al digitaal plaats en was de impact beperkt voor de studenten. Daarnaast is de Iraanse actor Silent Librarian (ook wel Scholar Kitten, TA407 en Cobalt Dickens genoemd) ook dit schooljaar weer actief gebleken. Deze spearphishingcampagne is breed verspreid en richtte zich op studenten en medewerkers binnen het hoger onderwijs. Diverse universiteiten zijn doelwit geworden in verschillende landen waaronder Nederland. Zo werd een phishingwebsite opgezet op basis van een bestaand domein van een Nederlandse universiteit.

       Niet alleen storingen, Covid-19 en criminelen zorgen voor extra uitdagingen voor onderwijsinstellingen. Ook statelijke actoren blijven geïnteresseerd in deze doelgroep, Hierdoor blijft de dreiging vanuit criminelen en statelijke actoren op deze sector om aandacht en maatregelen vragen. Eerder werden al tegenmaatregelen genomen tegen de phishingsites van Silent Librarian in relatie tot Nederlandse universiteiten en hoge scholen. In deze campagne hebben zij de infrastructuur iets aangepast door gebruik te maken van andere topleveldomeinen (TLD’s). Eerder was dat vaak .cf en .tk met deze campagne is daar nu .me aan toegevoegd. Naast de interesse van Silent Librarian in het hoger onderwijs is ook dat van criminelen niet nieuw. In december 2019 werd Universiteit Maastricht slachtoffer van een ransomware-aanval. Toen ging het om de Clop-ransomware dat door TA505 werd uitgevoerd. In het geval van de Belgische AP Hogeschool is het nog onbekend om welke ransomware het ging, hoeveel losgeld werd geëist en wie achter de aanval zat.

    5. Impact digitale aanvallen op pandemiebestrijding Covid-19

       In de afgelopen maand zijn er wereldwijd verschillende incidenten geweest met impact op de bestrijding van de Covid-19-pandemie. In New Jersey is een geslaagde ransomwareaanval uitgevoerd op een academisch ziekenhuis met behulp van SunCrypt malware. Het ziekenhuis heeft 670.000 dollar betaald aan criminelen om datalekken van patiëntgegevens te voorkomen. In India is een aanval uitgevoerd op datacentra van een Indiase multinational die werkt aan een Covid-19 vaccin. De aanval vond een week plaats na de publieke mededeling dat het bedrijf toestemming had gekregen om over te gaan tot klinische testen van het in Rusland ontwikkelde Sputnik-V vaccin. De multinational heeft datacentra in India, Rusland en het Verenigd Koninkrijk 24 uur geïsoleerd na het veiligheidsincident. Tenslotte is er een aanval uitgevoerd op  een softwareontwikkelaar voor medische software, onder meer voor het monitoren van klinische testen. De aanval heeft klinische testen van een Covid-19-vaccin vertraagd omdat onderzoekers werden gedwongen om over te stappen op pen en papier om patiëntgegevens bij te houden.

       Aanvallen met een impact op de pandemiebestrijding van Covid-19 vinden wereldwijd nog steeds plaats. De voorbeelden zijn allemaal buiten Nederland, maar een dergelijke aanval is ook binnen Nederland voorstelbaar. De voorbeelden tonen een impact van digitale aanvallen op vaccinontwikkeling aan; een aanval leidt mogelijk tot vertraging. Het voorbeeld van de softwareontwikkelaar toont ook de ketenafhankelijkheid aan. Wanneer een medische ‘bevoorradingsketen’ wordt geraakt heeft dat potentieel impact op alle afnemers.

       
       Nederlandse bedrijven en onderzoeksinstellingen spelen een prominente rol in het onderzoek naar de productie en ontwikkeling van een mogelijk vaccin en kunnen een potentieel doelwit zijn van digitale aanvallen. Rechtstreeks door bijvoorbeeld een gerichte ransomware-aanval, of indirect door een aanval op software of systemen waar deze organisaties van afhankelijk zijn. Vanwege de toegenomen dreiging worden bepaalde partijen daarom al enige maanden door het NCSC bediend als tijdelijk nieuwe doelgroep.

    6. Code of Ethics voor incident response en security teams gepubliceerd

       FIRST heeft een richtlijn gepubliceerd voor professioneel en ethisch gedrag van cybersecurityprofesionals tijdens een cybersecurity-incident. De richtlijn bevat een lijst van principes die de verantwoordelijkheden van de professional weergeven. Elk principe is uitvoerig gereviewd en besproken door ervaren cybersecurity-experts uit de hele wereld en is gebaseerd op waargebeurde scenario’s.

       Het NCSC levert een co-chair van de FIRST Ethics special interest group (ethicsfIRST) en heeft een rol gespeeld in de ontwikkeling van deze Code of Ethics. Het NCSC onderschrijft deze richtlijn en ziet het als een belangrijke ontwikkeling voor de professionalisering van het gedrag in dit vakgebied. De code geeft handvatten bij ethische dilemma’s die cybersecurity experts in het werk tegenkomen.

    7. Digitale aanvallen door overheden aangepakt

       aangeklaagd. Zij worden verdacht van de wereldwijde ‘Sandworm’-sabotagecampagnes in opdracht van de Russische militair inlichtingendienst GRU. [:24] Als voorbeelden van slachtoffers noemt de aanklacht de politieke partij van Emmanuel Macron in de aanloop van de Franse verkiezingen van 2017, het OPCW, een IT-dienstverlener en daarmee de Olympische Winterspelen, de wereldwijde slachtoffers van NotPetya en een keten van ziekenhuizen en de sabotage van de controlesystemen van het Oekraïense elektriciteitsnetwerk waardoor 225,000 huishoudens zonder stroom kwamen te zitten. Een bekend slachtoffer is A.P. Møller-Maersk waar NotPetya 17 containerterminals stillegde in onder andere Rotterdam, Los Angeles, Spanje en Mumbai. Ook monitoringsystemen bij de Tsjernobyl-kerncentrale en een farmaceutische-gigant werden getroffen.

       De Europese Unie kondigde sancties aan tegen twee personen en de GRU als organisatie voor de aanval op de Duitse Bundestag in 2015. Het onderzoekerscollectief Bellingcat publiceerde uitgebreide openbronneninformatie over de betrokken eenheden en verdachten.

       De aanklachten en sancties zijn onderdeel van een al langer gaande trend van overheden om digitale aanvallen vaker aan te pakken. Zo worden digitale aanvallen geattribueerd, individuen aangeklaagd en financiële sancties afgekondigd en soms diplomaten uitgezet. Recentelijk heeft de EU voor het eerst gezamenlijk sancties opgelegd tegen verschillende individuen en bedrijven die verantwoordelijk worden gehouden voor het uitvoeren van digitale aanvallen. De effectiviteit van deze strategie is nog onduidelijk en kan ook tegenacties uitlokken. Het beoogd doel is om de inzet van digitale aanvallen minder aantrekkelijk te maken voor staten.

    8. Overig nieuws Nederland

       Overheid informeert personen die in database techbedrijf Zhenhua staan ■ NSA kon meeluisteren met SE 660 Crypto-mobilofoons van Nederlandse politie ■ Ministerie gaat volgend jaar dreigingsinformatie met bedrijfsleven delen ■ NCTV publiceert infosheet over online veiligheid ■ Nederlander hackt opnieuw Twitteraccount van president Trump ■ Minister start met naming en shaming van hostingbedrijven ■ MIVD: smartphones van tafel tijdens vergadering  ■ Providers gaan bedrijven waarschuwen voor beveiligingslekken

13. September 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in september 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Toename in aantal, intensiteit en complexiteit DDoS-aanvallen

       Deze maand nam het aantal meldingen van DDoS-aanvallen op Nederlandse organisaties toe. Met pieken tot 260 Gbps waren sommige aanvallen uitzonderlijk groot. De aanvallen richtten zich met name op de gedeelde infrastructuur bij internetserviceproviders, waarmee in een aantal gevallen niet alleen afnemers verstoringen ondervonden in hun onlinedienstverlening maar ook de providers zelf. De Nationale Beheersorganisatie Internet Providers (NBIP) noemt de DDoS-aanvallen op de infrastructuren van internetserviceproviders in augustus en september “zeer heftig” en “bijzonder krachtig”.  Het NBIP registreerde aanvallen van meerdere uren en vier verschillende methoden: LDAP-, DNS- en NTP-amplificatie en DNS-request-flood. De DDoS-aanvallen die werden uitgevoerd waren tussen de 60 en 200 Gbps. De aanvallers zouden bovengemiddeld vaardig zijn en daarmee een grotere dreiging vormen dan de “standaard” DDoS-aanvallers: dit omdat niet alleen de publieke websites worden aangevallen, maar ook de achterliggende infrastructuur, en omdat de aanvallen vaak van misbruikte protocollen wisselen zodat het lastiger te verdedigen is.

       Ook door internationale partners en media wordt gewaarschuwd voor DDoS-afpersingsmails die afkomstig zijn uit naam van beruchte actoren, zoals Armada Collective en Fancy Bear. De afpersingsmails zijn onder meer naar financiële instellingen in diverse landen, waaronder Nederland, gestuurd. Doelwitten werden afgeperst om meerdere bitcoins te betalen om te voorkomen dat DDoS-aanvallen werden uitgevoerd.

       Volgens Akamai zijn de voornaamste aanvalsvectoren van deze kwaadwillenden ARMS, DNS-Flood, SNMP-Flood, SYN-Flood en WSDiscovery Flood. Onder de slachtoffers is de beurs van Nieuw-Zeeland, die vanwege DDoS-aanvallen via haar provider zich genoodzaakt zag meerdere dagen achtereen haar activiteiten stil te leggen.

       Het motief van de hierboven beschreven DDoS-aanvallen op Nederland-se organisaties is onduidelijk. Het NCSC heeft geen indicatie dat er een verband is tussen de internationaal waargenomen DDoS-afpersingsmails en de daadwerkelijke DDoS-aanvallen. De kans dat een statelijke actor verantwoordelijk is voor de afpersingsmails is gering gebaseerd op de modus operandi. Wel geven beide ontwikkelingen aan dat de dreiging van DDoS-aanvallen voor de beschikbaarheid van onlinedienstverlening onverminderd groot is. De genoemde aanvallen maken mitigatie lastiger, omdat de aanvallers soms van doelwit of aanvalsvectoren wisselen zodra mitigerende maatregelen in stelling zijn gebracht. Desondanks geeft de Anti-DDoS-Coalitie aan door samenwerking de gevolgen van de genoemde DDoS-aanvallen in Nederland te hebben kunnen beperken. Het NCSC adviseert bij een DDoS-aanval of ontvangen afpersingsmail aangifte te doen bij de politie en melding te doen bij het NCSC. Voor meer informatie verwijzen wij naar de NCSC factsheets “Continuïteit van Onlinediensten” en “Meldplicht bij het NCSC voor digitale veiligheidsin-cidenten”.

    3. Ransomware-aanval met mogelijk dood tot gevolg

       Op 10 september 2020 is een academisch ziekenhuis in Düsseldorf geraakt door ransomware. Omdat het ziekenhuis hierdoor niet meer in staat was om acute zorg te verlenen, moesten patienten worden opgevangen in andere ziekenhuizen. Dit heeft mogelijk geleid tot het overlijden van een patiënt die in kritieke toestand naar een ander ziekenhuis moest worden gebracht, waardoor te laat hulp werd verleend. Voor zover bekend is dit de eerste ransomware-aanval dat een mensenleven heeft gekost. De Duitse politie is een onderzoek gestart naar de dood van de vrouw. Uit de losgeldboodschap blijkt dat de aanvallers het oorspronkelijk hadden voorzien op de kantooromgeving van de universitaire campus van het ziekenhuis in plaats van op het ziekenhuis zelf. Er wordt gemeld dat de politie contact heeft gezocht met de aanvallers over deze vergissing. De aanvallers zouden de decryptiesleutel vervolgens zonder kosten hebben overgedragen. De aanvallers hebben gebruik gemaakt van de bekende Citrix-kwetsbaarheid CVE-2019-19781.

       Deze casus is uniek vanwege de tragische afloop. Het misbruik van de Citrix-kwetsbaarheid is niet nieuw en wordt ook nog steeds in Nederland gesignaleerd. Het NCSC heeft eerder advies gegeven om de patch te installeren die onder meer deze kwetsbaarheid verhelpt. Naar aanleiding van dit incident heeft Z-CERT haar deelnemers gewezen op het belang van detectie van Indicators-of-Compromise (IoC’s) binnen en buiten de organisatie. Het NCSC benadrukt nogmaals het belang van het uitvoeren van patches en het controleren op mogelijke compromittatie. In januari heeft het NCSC op de website een herstelplan bij mogelijke compromittatie en het ‘stroomschema risicoafweging Citrix’ gepubliceerd.

    4. Toename in Emotet-verspreiding waargenomen door verschillende partijen in Nederland

       Het NCSC neemt een toename waar van Emotet-verspreiding via malafide e-mailberichten, ook in Nederland. Het NCSC is niet de enige organisatie die een toename waarneemt. Z-CERT waarschuwde deze maand dat Emotet ook in de Nederlandse zorgsector wordt waargenomen en internationaal waarschuwden verschillende CERT-organisaties in het buitenland voor een toename van Emotet-verspreiding. In de vorige maandmonitor (augustus 2020) waarschuwde het NCSC dat voor het verspreiden van Emotet gebruik wordt gemaakt van Nederlandstalige e-mail-templates. Verschillende doelgroeporganisaties van het NCSC gaven aan Nederlandstalige e-mails te hebben ontvangen die Emotet verspreiden.

       De waargenomen toename van Emotet-verspreiding past in een langer lopende trend. Het treffen van basisbeveiligingsmaatregelen en awareness bij gebruikers blijven van belang. Daarnaast is het treffen van detectiemaatregelen van belang om infecties te kunnen detecteren. Het NCSC ontvangt en verwerkt dagelijks honderden nieuwe IoC’s voor Emotet, voornamelijk nieuwe file hashes en URL’s, en deelt deze via het Nationaal Detectie Netwerk. Door het fenomeen ‘cybercrime-as-a-service’ kan toegang aan andere actoren worden verkocht. Vervolgens kan een infectie voor van alles worden ingezet. Omdat onder andere generieke malware zoals Emotet ook wordt gebruikt als opstap om uiteindelijk ransomware te installeren, kan de gevolgschade van een infectie groot zijn.

    5. FBI waarschuwt voor Russische innesteling in vitale infrastructuur

       Vermeende Russische statelijke actoren blijven wereldwijd digitale aanvallen uitvoeren op vitale infrastructuur. Eerder dit jaar bleek uit een lek van FBI slachtoffer notificaties naar Wired dat de Amerikaanse vitale infrastructuur dit jaar weer slachtoffer is geweest van innesteling door een vermoedelijk Russische statelijke actor. Dit bericht volgt op een eerder gelekt Duits overheidsrapport over succesvolle langdurige innesteling van een Russische statelijke actor in de Europese energiesector. Eerder dit jaar waarschuwde de NSA voor vergelijkbare activiteiten van de Russische statelijke actor Sandworm een actor die bekend staat om verschillende succesvolle digitale sabotageaanvallen op vitale infrastructuur.

       Russische statelijke actoren worden al langer verantwoordelijk gehouden voor het uitvoeren van wereldwijde digitale aanvallen op vitale infrastructuur. Met name de energiesector is een gekend (vitaal) doelwit van vermeende Russische statelijke actoren zoals Energetic Bear, Berserk Bear en Sandworm. Op basis van eerder beschreven activiteiten proberen deze actoren op grote schaal toegang te krijgen tot bedrijven in de energiesector om zich vervolgens langdurig in te nestelen. Het is voorstelbaar dat deze actoren de verkregen toegang in zullen zetten op een voor hun opportuun moment om over te gaan tot het verstoren of saboteren van vitale infrastructuur. Ook Nederlandse bedrijven en (toe)leveranciers moeten bewust zijn van deze dreiging. Naast dat deze activiteiten steeds meer in West-Europa waargenomen worden is de complexe verwevenheid van het Europees energienet en met name de Duitse en Nederlandse energiesector van groot belang om rekening mee te houden. Digitale verstoring van onze vitale infrastructuur vormt een dreiging voor Nederland en zijn bondgenoten.

    6. Het Digital Trust Center helpt ondernemend Nederland weerbaarder te worden tegen digitale dreigingen

       Het Digital Trust Center (DTC) is opgericht door het ministerie van Economische Zaken en Klimaat (EZK) met de missie om ondernemend Nederland digitaal weerbaarder te maken tegen de toenemende digitale dreigingen. Waar het NCSC specifiek de Rijksoverheid en de vitale infrastructuur bedient, heeft het DTC de taak om ‘de rest’ van het Nederlandse bedrijfsleven te ondersteunen. Dit zijn bedrijven variërend van ZZP’ers tot aan grote bedrijven. Omdat duidelijk is dat de ketenafhankelijkheid voor cyberweerbaarheid groot is, werkt het DTC nauw samen met het NCSC om gezamenlijk Nederland zo goed mogelijk te helpen de weerbaarheid te vergroten. Het DTC is bezig met het opzetten van een informatiedienst om daarmee concrete dreigingsinformatie die relevant is voor bedrijven, die buiten de doelgroep van het NCSC vallen, goed te kunnen verwerken en geschikt te maken voor de diverse kennisniveaus van de DTC-doelgroep. De ministeries van Justitie en Veiligheid (JenV) en EZK onderzoeken op welke wijze het DTC aangewezen kan worden als OKTT.

    7. Overig nieuws Nederland

       Universiteit Utrecht lekt duizenden burgerservicenummers afgestudeerden ■ 10 miljoen euro extra voor uitvoering Wet Computercriminaliteit III ■ VNOG getroffen door ransomware ■ Datalek gemeente Roosendaal ■ Medewerker grootste cyberrisico voor gemeente ■ Kamervragen over digitale beveiliging Waternet ■ DTC waarschuwt voor misbruik van Magento kwetsbaarheid ■ CDA stelt kamervragen over lek Zhenhua data ■

14. Augustus 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in augustus 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Emotet zet Nederlandstalige emailtemplates in voor verdere verspreiding

       Onderzoekers merkten deze maand voor het eerst op dat Emotet-malwarecampagnes Nederlandstalige emailtemplates gebruiken. Emotet is één van de meest waargenomen malwarestammen die via email wordt verspreid.

       Emotet is sinds tenminste 2014 actief en is ontwikkeld als banking trojan. Inmiddels is het uitgegroeid tot modulaire malware die aanvullende malware op systemen kan installeren. Na compromittatie, door bijvoorbeeld het openen van een malafide e-mailbijlage of een link, kan Emotet zich door het netwerk verspreiden. De aanvallers kunnen dan op afstand de malware opdracht geven om bijvoorbeeld ransomware te installeren, of andere modules toe te voegen . Emotet wordt wijdverspreid ingezet om zoveel mogelijk financieel gewin te behalen, bijvoorbeeld door het inzetten van gerichte ransomware-aanvallen.

       De Emotet-malware wordt wereldwijd verspreid, ook in Nederland neemt het NCSC geregeld infecties waar. Het is niet nieuw dat (phishing)emailcampagnes gebruik maken van Nederlandstalige emails. Voor zover bekend is dit de eerste keer dat Emotet dit doet. Omdat Emotet één van de meest waargenomen via email verspreidde malwarestammen is, is dit een relevante ontwikkeling. Het is de vraag of dit ook daadwerkelijk leidt tot een toename van Emotet-infecties in Nederland.

       
       De Nederlandstalige Emotet-emails worden inmiddels door verschillende organisaties inmiddels al waargenomen. Bij het NCSC is nog niet bekend of dit ook tot een toename van het aantal infecties heeft geleid. Awareness bij gebruikers en het treffen van basisbeveiligingsmaatregelen blijven van belang. Daarnaast is het treffen van detectiemaatregelen van belang om infecties te kunnen detecteren.
       
       Door het fenomeen ‘cybercrime-as-a-service’ kan toegang aan andere actoren worden verkocht. Omdat onder andere generieke malware zoals Emotet ook wordt gebruikt als opstap om uiteindelijk ransomware te installeren, kan de gevolgschade van een infectie groot zijn.

    3. Top 25 kwetsbaarheden

       MITRE Corporation, de organisatie bekend van het Common Vulnerabilities and Exposures (CVE)-systeem om kwetsbaarheden te identificeren, heeft een Top 25 met de gevaarlijkste kwetsbaarheden gepubliceerd. De Top 25 is bedoeld voor ontwikkelaars, onderzoekers, testers en gebruikers van software om inzicht te bieden in de meestvoorkomende beveiligingsdreigingen. Bij het opstellen van de lijst is gekeken naar actuele beveiligingslekken en is op elke kwetsbaarheid een scoreformule losgelaten om de dreiging en impact te bepalen. In het overzicht komen kwetsbaarheden voor zoals bufferoverflows, cross-site scripting, commando-injectie, SQL-injectie, het gebruik van hard gecodeerde wachtwoorden, het niet goed controleren van certificaten en ongecontroleerde (ongevalideerde) gebruikersinvoer.

       Het NCSC ontvangt, beoordeelt en verwerkt CVD-meldingen (Coordinated Vulnerability Disclosure) voor de doelgroepen van het NCSC. Veel van deze CVD-meldingen bevatten kwetsbaarheden die in de top 25 van MITREworden genoemd. In de afgelopen weken heeft het NCSC bijvoorbeeld meerdere CVD-meldingen ontvangen over kwetsbare Cisco ASA-systemen. Door de CVD-meldingen konden de kwetsbaarheden tijdig worden verholpen. Dit illustreert de toegevoegde waarde van een CVD-proces. Bij CVD-meldingen die buiten de doelgroepen van het NCSC vallen wordt de melder in eerste instantie doorverwezen naar de organisatie waar de kwetsbaarheid is waargenomen. Veel Nederlandse organisaties voeren een actief CVD-beleid en met de door het NCSC gepubliceerde leidraad kunnen organisaties een eigen CVD-beleid inrichten. Bijvoorbeeld ten aanzien van de wijze waarop melders kwetsbaarheden aan de organisatie kunnen doorgeven, afspraken over berichtgeving, de oplossingstermijn en eventuele beloning aan melders.
       
       Tot slot, veel van deze kwetsbaarheden ontstaan door ongecontroleerde (ongevalideerde) invoer van gebruikers en zijn een belangrijke dreiging voor (web)applicaties. Als de invoer van gebruikers rechtstreeks wordt gebruikt in bijvoorbeeld HTML-uitvoer, cookie-waarden of SQL-query’s, bestaat er een grote kans dat een kwaadwillende de applicatie compromitteert. Een gebrek aan invoervalidatie kan tot de door MITRE genoemde kwetsbaarheden als cross-site scripting, commando- en SQL-injectie. Dergelijke kwetsbaarheden worden met regelmaat bij het NCSC gemeld doormiddel van een CVD-melding.

    4. Oefening Cyberstorm 2020

       Van 11 tot 13 augustus heeft de Amerikaanse oefening Cyberstorm 2020 plaatsgevonden. Cyberstorm is een cyberoefening op internationaal niveau georganiseerd door het Amerikaanse CISA. De oefening brengt de publieke en private sector samen om een grensoverschrijdende ​​cybercrisis, die de kritieke infrastructuur van een land raakt, te simuleren.  De oefening is bedoeld om de paraatheid op het gebied van cyberbeveiliging te testen en de responsprocessen, procedures en het delen van informatie te testen en onderzoeken. Er speelde een tweetal scenario's tijdens deze oefening: wereldwijde ransomware-aanvallen met een onbekende vorm van ransomware en BGP-hijacking. Met meer dan 1.000 spelers die deelnamen aan dit drie dagen lange live oefeningspel, is Cyberstorm de meest uitgebreide reeks cyberbeveiligingsoefeningen.

       Het NCSC heeft dit jaar bij de oefening Cyberstorm 2020 geobserveerd. De focus van het NCSC lag hierbij op de werking en inzet van het tijdens grensoverschrijdende incidenten.is een wereldwijd netwerk van overheidsvertegenwoordigers uit 15 landen, die beleid en operationele uitvoering van cybersecurity borgen. Het NCSC neemt aan het IWWN deel en is het Nederlandse 'point of contact'. Het NCSC treedt hierbij op als coördinator tijdens crises, en stimuleert informatiedeling en samenwerking. Door samenwerking met andere landen via IWWN en oefeningen als Cyberstorm 2020 kan het NCSC digitale dreigingen en gevolgen van internationale incidenten het hoofd bieden.

    5. Overig nieuws Nederland

       Z-CERT waarschuwt voor kwetsbaarheid in XenMobile ■ Hackers stelen gegevens afgestudeerden Universiteit Utrecht ■ Nederlandse onderzoekers manipuleren verkeerslichten met virtuele fietsers ■ Ook digitale problemen bij 50Plus: onderzoeker bracht valse stemmen uit ■ Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf ■ Hack Apollo Vredestein legt zwakke cyberbeveiliging bij bedrijven bloot ■ ISO 27002 wordt herzien ■ Tienduizenden wachtwoorden op straat na hack muziekwinkel Bax ■ Politie benadert personen om gevonden inloggegevens

15. Juli 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in juli 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Gerichte ransomware-aanval raakt Garmin

       In de afgelopen maand is navigatie- en smartwatchbedrijf Garmin getroffen door een ransomware-aanval waardoor verschillende diensten niet toegankelijk waren. De gebruikte ransomware wordt WastedLocker genoemd. Vermoedelijk is er 10 miljoen dollar losgeld geëist om de bestanden te ontsleutelen. Garmin verklaart dat bepaalde systemen waaronder websitefuncties, klantenservice en algemene bedrijfscommunicatie waren versleuteld door een digitale aanval. Garmin zegt geen indicaties te hebben dat klantgegevens zijn ingezien, verloren of gestolen. De meeste van de getroffen systemen zijn inmiddels weer beschikbaar. Garmin levert verschillende apparatuur en GPS-navigatie voor diverse sectoren zoals maritiem, luchtvaart en automotive. Verschillende bronnen melden dat de actor Evil Corp mogelijk verantwoordelijk is voor de ransomware-aanval.

       Evil Corp is een vermeende Russische actor met criminele intenties en is vooral bekend van de Dridex-malware. De groep heeft hiermee in het verleden veel schade aangericht bij voornamelijk banken. Het NCSC heeft geen meldingen ontvangen van doelgroeporganisaties die hinder hebben ondervonden van de uitval van diensten bij Garmin. Het NCSC ziet de recente aanval op Garmin in lijn met een al langer gaande trend van gerichtere ransomware-aanvallen op (middel)grote bedrijven om hogere bedragen losgeld te eisen. Omdat de risico’s op ransomware-aanvallen wereldwijd toeneemt, heeft het NCSC hier een factsheet over uitgebracht. Deze factsheet geeft een overzicht van de verschillende soorten ransomware, beschrijft enkele maatregelen die uw organisatie kan nemen om een ransomware-aanval te voorkomen en geeft advies over wat te doen als uw organisatie geïnfecteerd is met ransomware. De recente factsheet over risicobeheersing is hier een goede aanvulling op.

    3. Ook in Nederland een groot aantal QSnatch-malware-infecties

       NCSC-UK en het Amerikaanse CISA waarschuwen deze maand voor het grote aantal QSnatch-malware-infecties. Uit meldingen die het NCSC ontvangt, blijkt ook in Nederland een groot aantal infecties aanwezig te zijn. QSnatch is malware die specifiek is ontwikkeld voor en gericht op QNAP NAS (Network Attached Storage)-apparaten. Deze NAS-apparatuur wordt veelal gebruikt door thuisgebruikers, maar mogelijk ook bij onder andere MKB-bedrijven. Het NCSC van Finland (CERT-FI) heeft deze malware vorig jaar onderzocht naar aanleiding van meldingen van malware die in eerste instantie als de Windows-malware ‘Caphaw’ werd geïdentificeerd. CERT-BUND heeft vorig jaar aangegeven dat in Duitsland rond de 7.000 infecties zijn waargenomen. Sinds het laatste kwartaal van 2019 ontvangt het NCSC ook een groot aantal meldingen van infecties in Nederland. QNAP heeft een reactie en firmware updates beschikbaar gesteld.

       Het NCSC heeft tot nu toe geen meldingen kunnen koppelen aan specifieke organisaties binnen de Rijksoverheid of vitale sectoren. CERT-FI [:14] en QNAP hebben instructies beschikbaar gesteld voor het opschonen van infecties, QNAP heeft ook een firmware-update beschikbaar gesteld en een verklaring uitgebracht. Het NCSC adviseert kennis te nemen van de factsheet, ‘Beveilig apparaten gekoppeld aan internet’. Hierin waarschuwt het NCSC ook specifiek voor de risico’s van op het internet beschikbare NAS-apparatuur en worden beveiligingsadviezen gegeven die gezien de grote hoeveelheid QSnatch-infecties in Nederland nog steeds relevant zijn.

    4. CSBN 2020: Digitale risico’s zijn onderverminderd groot en niet fundamenteel veranderd

       Eind juni is het CSBN 2020 gepubliceerd. Het CSBN biedt inzicht in dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. De drie belangrijkste bevindingen uit het CSBN 2020 zijn als volgt.

       1) De digitale risico’s zijn onverminderd groot en niet fundamenteel veranderd. Vooral de risico’s van (voorbereidingen voor) sabotage en spionage door statelijke actoren vormen nog altijd een grote dreiging. Daarnaast wordt ransomware veelvuldig en succesvol ingezet. De digitale dreiging heeft een permanent karakter en cyberincidenten kunnen leiden tot ontwrichting. Ondanks dat dit zich in Nederland nog niet heeft voorgedaan, valt dat in de toekomst niet uit te sluiten.
       2) Digitale risico’s staan niet los van andere risico’s. Digitale diensten, processen en systemen maken onderdeel uit van een groter geheel. Incidenten kunnen snel en op grote schaal effect hebben op andere domeinen en de samenleving hard treffen. Dankzij de digitalisering kunnen commerciële, educatieve en sociale activiteiten die anders stil zouden vallen door de COVID-19 pandemie, deels doorgaan. De keerzijde is dat dit zorgt voor extra belasting op de digitale ruimte.

       3) Vergroting weerbaarheid belangrijkste instrument maar nog niet overal op orde. Om digitale risico’s te beheersen, blijft het belangrijk om de digitale weerbaarheid te vergroten. Het gaat hierbij om uiteenlopende middelen zoals technische, procedurele of organisatorische maatregelen. Ook juridische en voorlichtingscampagnes kunnen helpen bij het vergroten van de digitale weerbaarheid.

    5. Groot aantal high-high kwetsbaarheden in één maand

       De afgelopen maand zijn een groot aantal kwetsbaarheden bij verschillende leveranciers geconstateerd. De meest kritieke waren kwetsbaarheden in BIG-IP, SAP Netweaver, Windows DNS-serveren Cisco ASA. Deze zijn ingeschaald als high-high. Door de ernst van deze kwetsbaarheden wordt op korte termijn misbruik verwacht. CISA laat in een waarschuwing weten dat aanvallers actief naar kwetsbare BIG-IP-systemen zoeken. CISA is ook bekend met gevallen waarbij F5 BIG-IP-apparaten zijn gecompromitteerd. Hetzelfde geldt voor de kwetsbaarheid in de Windows DNS-server. Het U.S. Cyber Command waarschuwde voor een kwetsbaarheid in Palo Alto Network’s PAN-OS met de verwachting dat statelijke actoren deze kwetsbaarheid gaan misbruiken. Naast de hierboven benoemde kwetsbaarheden heeft Oracle deze maand een Critical Patch Update uitgebracht met 433 kwetsbaarheden in verschillende producten. Niet eerder verhielp het softwarebedrijf in één keer zoveel beveiligingslekken. Vanwege het risico op succesvolle aanvallen adviseren de leveranciers om de updates zo snel mogelijk te installeren.

       Het aantal gerapporteerde (hoogrisico-) kwetsbaarheden is de afgelopen jaren sterk toegenomen. Er is ook een toename geconstateerd in de publicatie van het aantal kwetsbaarheden in de week van Patch Tuesday. Patch Tuesday is de tweede dinsdag van de maand, waarop Microsoft de maandelijkse beveiligingsupdates voor de Windowssystemen en andere Microsoft-producten uitgeeft. Steeds meer leveranciers gebruiken de week waarin Patch Tuesday valt om patches uit te brengen. Het NCSC adviseert om hier rekening mee te houden zodat er voldoende capaciteit is om de patches te kunnen installeren. De publicatie van kwetsbaarheden heeft de afgelopen maand geresulteerd in vijf high-high beveiligingsadviezen en een doelgroepbericht. De kwetsbaarheden met als inschaling high-high bevinden zich in BIG-IP, SAP Netweaver, Windows DNS-server, Cisco ASA. Dergelijke kwetsbaarheden hebben de potentie om grootschalig te worden misbruikt. Actief misbruik van de kwetsbaarheden in Cisco ASA is in Nederland reeds waargenomen. Organisaties die gebruik maken van systemen die kwetsbaar zijn, raadt het NCSC aan om het systeem te updaten. Gezien de dreiging die uitgaat van misbruik van ernstige kwetsbaarheden is het van belang om de basisbeveiligingsmaatregelen niet uit het oog te verliezen. Denk hierbij aan het goed inrichten van patchmanagement.

    6. Afzonderlijke problemen met EV-certificaten DigiCert en PKIoverheid certificaten

       Afgelopen maand waren er twee problemen die afzonderlijk betrekking hadden op digitale certificaten. Zo maakte DigiCert op 7 juli bekend dat een aantal van hun certificaten niet zijn meegenomen in hun recente WebTrust EV audit. Dit zijn “Extended Validation” certificaten, waarbij er extra stappen zijn genomen om de identiteit van de aanvrager te kunnen valideren. Ondanks dat dit volgens DigiCert niet direct voor een beveiligingsrisico zorgt, moeten de eindcertificaten van de geraakte tussencertificaten ingetrokken worden om te kunnen voldoen aan de EV-richtlijnen. Dit heeft DigiCert gedaan op 11 juli. Hierbij ging het alleen om EV-eindcertificaten en hebben zij niet de tussencertificaten zelf ingetrokken. Dit betrof 50.000 eindcertificaten wereldwijd. Begin juli stelde Logius een onderzoek in naar certificaten die niet voldoen aan de afgesproken richtlijnen. Hieruit bleek dat de OCSP responders ontbrak, een vereiste extensie waardoor ze niet voldoen aan internationale afspraken. Uit het onderzoek van Logius is ook gebleken dat deze fout betrekking heeft op 29 (PKIoverheid) tussencertificaten. Wereldwijd gaat het om 293 tussencertificaten. Logius en de certificaatverstrekkers van PKIoverheid zijn gestart met de uitvoering van een actieplan om de tussencertificaten weer te laten voldoen aan internationale afspraken.

       Het NCSC is vanuit een adviserende rol betrokken geweest bij beide casussen.  De geraakte certificaten moeten vervangen worden om te kunnen voldoen aan regelgeving, zodat de eindcertificaten vertrouwd blijven. Voor DigiCert en Logius is dit een omvangrijk vervangingsproces. Bij PKIoverheid maakt dit onderdeel uit van het actieplan en zullen de certificaatverstrekkers indien van toepassing contact met uw organisatie opnemen. De fout, die werd geconstateerd door de internationale certificatengemeenschap, was dat de stamcertificaten onbedoeld OCSP responder status aan de onderliggende tussencertificaten hadden gegeven. Dit is in strijd met de Baseline Requirements van het CA/Browser Forum. Het risico bestond dat een tussencertificaat een ingetrokken certificaat van een andere TSP opnieuw geldig zou verklaren. Het simpelweg intrekken van de tussencertificaten was niet afdoende, omdat deze fout er voor zorgt dat een ingetrokken tussencertificaat via dezelfde kwetsbaarheid zichzelf weer geldig zou kunnen verklaren.

    7. Overig nieuws Nederland

       ‘Softwareproblemen kosten mensenlevens’ [:38] ■ Stemmen via internet zorgt voor problemen [:39] ■ Kabinet wil coronavirus-app CoronaMelder op 1 september invoeren [:40] ■ VWS waarschuwt voor malafide sms [:41] ■ Privéberichten Nederlandse politicus ingezien bij Twitter hack [:42] ■ Digitale weerbaarheid Nederland is lastig te meten [:43] ■ UWV ondersteunt inloggen via DigiD-machtiging [:44] ■ Lek bij Citrix actief misbruikt door hackers [:45] ■ Nederlandse teams in de race voor het ontwikkelen van cryptostandaard [:46] ■ 2200 NS-accounts gehackt [:47] ■ EU legt vier Russen sancties op voor hackaanval op OPCW in Den Haag [:48]

16. Juni 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in juni 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Kwetsbare Exim-emailservers, ook in Nederland

       Begin deze maand waarschuwden de NSA en de Canadese overheid voor het misbruik van de kwetsbaarheid CVE-2019-10149 in Exim. De NSA benadrukt het belang van het updaten naar de nieuwste versie. Daarnaast wordt het aangeraden om Exim-mailservers regelmatig te controleren op (pogingen tot) misbruik. Het controleren van ongeautoriseerde systeemaanpassingen op bijvoorbeeld accounts en SSH-sleutels kan misbruik detecteren. RiskIQ heeft ook onderzoek gedaan en stelt dat er nog meer dan 900.000 Exim-mailservers te vinden zijn op het internet die een kwetsbare versie van de mailserversoftware draaien.

       Exim is zeer populaire emailserversoftware die wereldwijd op miljoenen systemen draait en dus een aantrekkelijk doelwit is voor kwaadwillenden. Het afgelopen jaar zijn verschillende ernstige kwetsbaarheden in de software gevonden en vervolgens ook aangevallen. Door deze kwetsbaarheid te misbruiken kunnen ongeautoriseerde kwaadwillenden op afstand willekeurige code uitvoeren met root/systeemrechten. Organisaties die gebruik maken van een Exim- mailserver, raadt het NCSC aan om Exim-installaties te controleren en het systeem te updaten als deze een kwetsbare versie betreft. Gezien de dreiging die uitgaat van ernstige kwetsbaarheden zoals de benoemde kwetsbaarheid in Exim is het van belang om de basisbeveiligingsmaatregelen niet uit het oog te verliezen. Denk hierbij aan de door het NCSC uitgebrachte adviezen over het goed inrichten van patchmanagement.

    3. Software supply chains blijven een bron van kwetsbare kritieke systemen

       Verschillende producten hebben bevestigd dat enkele van hun producten kwetsbaar blijken te zijn voor de 'Ripple20'-kwetsbaarheden. Een aantal van deze partijen zijn Aruba Networks en Cisco (netwerk apparatuur); Eaton, Rockwell Automation en Schneider Electric (industriële controle systemen); Baxter en Carestream Health (medische apparatuur); Caterpillar, Intel, HP en Xerox. De “Ripple20”-kwetsbaarheden zijn een verzameling van 19 vaak zeer ernstige kwetsbaarheden in de TCP, IP, UDP en DNS implementatie van het bedrijf Treck Inc. De software wordt al jaren gebruikt vaak als basis voor embedded systemen welke ook in krietieke systemen kunnen zitten. Denk bijvoorbeeld aan diverse medische apparaten of andere hardware. Qualcomm kondigde deze maand aan ernstige kwetsbaarheden te hebben verholpen in software voor de baseband processoren van veel mobiele systemen. Deze zijn ook meegenomen in de laatste Android versies. Ook Apple kondigde patches aan voor de zero-day-kwetsbaarheid die gebruikt is in de unc0ver jailbreak. Dit volgt op een kritieke kwetsbaarheid in een door Samsung meegeleverde software bibliotheek vorige maand.

       Niet alle leveranciers zullen nog actief ontwikkelen aan verouderde software. Het is te verwachten dat voor sommige producten geen aankondiging van de “Ripple20”-kwetsbaarheid zal komen, laat staan dat er patches beschikbaar zijn.  Dit kan gaan om systemen voor avionics en industriële controle en medische systemen. Gegeven de brede verspreiding van deze kwetsbare software zullen er situaties zijn waar misbruik gevaarlijke situaties kan opleveren. Het is aan te raden voor de meest kritieke systemen zelf te inventariseren hoe de supply chain eruitziet en in het geval dat er toeleveranciers zijn met zeer ernstige kwetsbaarheden actief leveranciers uit te vragen of producten kwetsbaar zijn. Dit kan soms zo eenvoudig zijn als in de documentatie of gebruikersinterface te zoeken naar versienummers voor VxWorks, Kasago INTEGRITY OS of velOSity of auteursrecht vermeldingen van Wind River systems, Green hills software en Treck Inc. Er is proof-of-concept code beschikbaar waarmee onafhankelijk van leveranciers gecontroleerd kan worden of systemen kwetsbaar zijn. Het NCSC heeft voor Ripple20 een beveiligingsadvies uitgebracht.

    4. Helft overheden kwetsbaar voor spoofing en/of afluisteren e-mailverkeer

       Uit een meting van het Forum Standaardisatie blijkt dat ongeveer de helft van de overheidsorganisaties kwetsbaar is voor spoofing en/of afluisteren van e-mailverkeer. Wel concludeert het Forum Standaardisatie dat het gebruik van informatieveiligheidstandaarden het afgelopen halfjaar toegenomen is. Deze meting dateert uit maart 2020 en betrof 548 domeinnamen. Binnen de overheid zijn afspraken, zogenoemde streefbeeldafspraken, gemaakt over de implementatie van standaarden voor het beveiligen van e-mail en websites. Het Forum Standaardisatie meet de voortgang van deze afspraken twee keer per jaar. Het afgelopen half jaar steeg de gemiddelde adoptie van webstandaarden met 2 procentpunt naar 94 procent en de gemiddelde adoptie van e-mailstandaarden met 4 procentpunt naar 81 procent. Echter is de adoptiegraad van een strikt DMARC policy (58%), DANE (50%) en DNSSEC MX (67%) reden tot zorg volgens het Forum Standaardisatie, aangezien dit overheids-e-mail kwetsbaar maakt voor spoofing en het meelezen dan wel onderscheppen van e-mailverkeer. Dit wordt bemoeilijkt door de overstap van een aantal overheden naar Microsoft 365 Exchange Online, omdat dit product momenteel geen ondersteuning biedt voor DNSSEC en DANE.

       Het NCSC vindt het gebruik van open standaarden belangrijk en brengt hier adviezen over uit. Het NCSC heeft geadviseerd over het gebruik van de standaarden SPF, DKIM, DMARC en STARTTLS en DANE. Op internet.nl kunt u controleren of uw domein voldoet aan deze adviezen. Voor het verhogen van de adoptiegraad is bij sommige producten ondersteuning van DNSSEC en DANE nodig. Microsoft heeft bijvoorbeeld in april aangekondigd DNSSEC en DANE te gaan ondersteunen in Microsoft 365 Exchange Online voor eind 2021.
        

    5. Samenwerking op DDoS-gebied om groeiende aanvallen het hoofd te bieden

       Amazon heeft begin dit jaar de grootste DDoS-aanval tot nu toe te verwerken gehad. Het ging om een 2.3Tbps aanval die enkele dagen aanhield. In Nederland houdt de stijgende trend ook aan op omvang en complexiteit. Het NBIP rapporteerde dat er in  2019 wel iets minder aanvallen waren, waarbij de grootste aanval 124Gbps was.

       Deze maand heeft de Nederlandse anti-DDoS-coalitie de website NoMoreDDoS.org gelanceerd. Deze coalitie is begin 2018 in Nederland opgezet en heeft als doel om DDoS-aanvallen in de toekomst het hoofd te bieden. Deze publiek-private samenwerking met 17 organisaties maakt gebruik van wetenschappelijke analysemethoden voor DDoS-aanvallen om zo ‘fingerprints’ te genereren. Deze worden via een informatiecentrum (het zogenaamde clearinghouse) uitgewisseld, om zo mitigatie bij andere partijen te helpen.

       DDoS-aanvallen blijven wereldwijd een stijgende trend vertonen op omvang en complexiteit. De grote aanval op Amazon was opnieuw met gespoofd verkeer, wat het belang aantoont van het nemen van maatregelen als BCP38 en BCP84. Het NCSC heeft van het begin af aan de coalitie gefaciliteerd en blijft in de toekomst ook betrokken om zo mee te helpen DDoS-aanvallen te voorkomen. De coalitie wordt vertegenwoordigd door diverse partijen waaronder banken, telecom, wetenschap en de overheid.
        

    6. Sneller schakelen middels een samenwerkingsverband om de digitale slagkracht te vergroten

       Vanaf juni wordt de samenwerking tussen het Openbaar Ministerie, de Nationale Politie, AIVD, MIVD en het NCSC versterkt door een samenwerkingsverband. Het samenwerkingsverband heeft als doel dat deze vijf partijen sneller met elkaar kunnen schakelen omtrent digitale dreigingen. Mede daarom is bedacht om deze organisaties structureel en fysiek bij elkaar te laten komen op één locatie. Aan dit samenwerkingsverband ligt een convenant ten grondslag welke op 15 juni is gepubliceerd in de Staatscourant. Het doel van het convenant is het vastleggen van afspraken tussen de betrokken partijen over het instellen van en de samenwerking ten behoeve van het versterken van een landelijk situationeel beeld ten aanzien van digitale dreigingen en incidenten. Het initiatief komt niet helemaal uit de lucht vallen, want in de Nederlandse Cybersecurity Agenda (NCSA) van 2018 staat al een eerste aanzet om binnen de wettelijke kaders meer en sneller handelingsperspectief met belanghebbende organisaties te kunnen delen en hierdoor de digitale slagkracht van die organisaties te vergroten en de veiligheid in het digitale domein te versterken.

17. Mei 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in mei 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Thunderbolt kwetsbaarheden

       Onderzoekers van de Technische Universiteit Eindhoven (TUe) hebben meerdere kwetsbaarheden ontdekt in het Thunderbolt-protocol. De kwetsbaarheden, genaamd Thunderspy, bevinden zich in de manier waarop randapparatuur wordt geïdentificeerd en een verbinding tot stand wordt gebracht.

       Thunderbolt is een interface waar de DisplayPort en PCI Express(PCIe)-protocollen worden gecombineerd. Wanneer gebruik wordt gemaakt van PCIe heeft het apparaat toegang tot geheugen van het systeem. Om enigszins bescherming te bieden bevat de Thunderbolt-host een lijst met unieke ID's (UUID) van apparaten die zonder interactie van de gebruiker hiervan gebruik mogen maken. Komt een UUID niet voor, dan krijgt de gebruiker een melding om dit apparaat goed te keuren.

       Wanneer Thunderbolt Security Level 1 (SL1) is ingesteld, is alleen een UUID nodig voor goedkeuring. Het is dan voor een kwaadwillende voldoende om de UUID te kopiëren naar malafide randapparatuur. Bij SL2 is er nog een verificatie nodig. In dat geval moet men ook een sleutel uit de SPI-chip van randapparatuur van het doelwit verkrijgen.

       Daarnaast zitten er enkele kwetsbaarheden in de SPI-chip van de Thunderbolt-controller. Zo kan men de firmware aanpassen waarbij tevens het Security Level kan worden gewijzigd naar aan lager niveau.

       Om de kwetsbaarheden te kunnen uitbuiten moet men fysiek toegang hebben tot het systeem van het slachtoffer. Het systeem mag niet uitgeschakeld zijn en kan in slaapstand staan of vergrendeld zijn. Hierbij moet men tevens het systeem openmaken om bij de SPI-chip te komen. Alleen in het geval dat er ook beschikking is over randapparatuur van het slachoffer en het systeem alleen SL1 hanteert komt de schroevendraaier hier niet aan te pas.

       Fysieke toegang is noodzakelijk om de kwetsbaarheden uit te buiten. Er zijn geen mitigerende maatregelen voor systemen van voor 2019 en systemen van daarna die niet beschikken over Kernel DMA protection. Bij dienstreizen, bijvoorbeeld naar het buitenland, loopt u meer risico vanwege mogelijk interesse in gegevens die op uw apparatuur staan.
       Er zijn geen updates voor Thunderbolt, aangezien het hardware betreft. Het NCSC raadt aan om uw apparaten met Thunderboltpoorten niet onbeheerd achter te laten en het apparaat uit te schakelen wanneer u er geen gebruik van maakt, en deze niet in de slaapstand te zetten. Gebruik daarnaast alleen vertrouwde randapparatuur en voorkom ongeautoriseerd fysieke toegang tot systemen.

    3. Verhoogde scanactiviteiten door statelijke actoren naar VPN-kwetsbaarheden

       Uit betrouwbare bron heeft het NCSC vernomen dat in Nederland statelijke actoren nog altijd actief scannen naar VPN-kwetsbaarheden. Eerder (oktober 2019 en januari 2020) waarschuwde het NCSC al voor waargenomen scanactiviteiten en het misbruiken van onder meer VPN-kwetsbaarheden in netwerken van zowel publieke als private partijen. Buitenlandse CERT’s hebben de afgelopen maanden verhoogde scanactiviteiten waargenomen naar VPN-kwetsbaarheden. Recentelijk waarschuwden de Amerikaanse autoriteiten nog voor veelvuldig misbruik van bekende VPN-kwetsbaarheden. De Australische CERT (ACSC) schrijft dat de modus operandi van scannen naar kwetsbaarheden met name naar kwetsbaarheden in VPN-oplossingen een trend is en ook in 2020 nog zal blijven. Inmiddels bestaan voor de door ACSC genoemde VPN-kwetsbaarheden patches en zijn meerdere waarschuwingen en beheersmaatregelen gepubliceerd. Desondanks zijn er ook in Nederland nog organisaties die gebruik maken van (vergeten) VPN-oplossingen. Veel organisaties hebben inmiddels maatregelen genomen om de VPN-kwetsbaarheden te verhelpen, maar met name organisaties in het mkb hebben de kwetsbaarheden nog niet altijd verholpen.

       De informatie die het NCSC ter beschikking heeft gekregen, heeft voornamelijk betrekking op mkb-bedrijven en -organisaties in uiteenlopende sectoren. Het NCSC heeft waar mogelijk nationale en internationale CERT’s geïnformeerd over kwetsbare organisaties binnen hun doelgroep. Wanneer uw organisatie niet behoort tot het mkb is het wel mogelijk dat zaken wordt gedaan met bedrijven uit dit segment. Met name de laatste jaren is gebleken dat statelijke actoren succesvol de (toe)leveranciersketen gebruiken om beoogde doelwitten aan te vallen. Het NCSC adviseert dan ook om bewust te zijn van deze dreiging en hier maatregelen op te treffen om risico’s te beperken. Voor meer informatie en de te nemen maatregelen kunt u terecht op onze website.

    4. Opvallende activiteiten van actoren gerelateerd aan de COVID-19-pandemie

       Verschillende actoren blijven digitale activiteiten ontplooien om voordeel te behalen uit de COVID-19-crisissituatie. Diverse doelwitten worden in phishingcampagnes verleid om bijlagen te openen of via malafide links gegevens af te staan. Verschillende digitale aanvallen zijn deze maand in het nieuws geweest en beschreven deze en andere modus operandi. Daarnaast wordt nog steeds malware waaronder veel ransomware verspreid. Doelwitten van ransomware-aanvallen zijn met name organisaties in de zorg zoals ziekenhuizen, farmaceuten en (medische) onderzoeksinstituten maar bijvoorbeeld ook een fabrikant van dialyseapparatuur.

       Er verscheen veel berichtgeving over activiteiten van statelijke actoren. Deze activiteiten betroffen voornamelijk het verkrijgen van COVID-19-gerelateerde informatie voor spionagedoeleinden. NCSC-UK waarschuwde voor spionagecampagnes van statelijke actoren. Ook de Amerikaanse autoriteiten (FBI en CISA) waarschuwden voor digitale aanvallen door aan China gerelateerde actoren op Amerikaanse organisaties die COVID-19-gerelateerd onderzoek doen. De actoren proberen volgens het bericht van netwerken en medewerkers intellectueel eigendom en volksgezondheidsgegevens te bemachtigen betreffende vaccins, behandelingen en testen. Het farmaceutische bedrijf Gilead kwam in het nieuws, omdat zij mogelijk doelwit waren van een digitale aanval door de Iraanse actor ‘Charming Kitten’ genaamd. Het is onbekend of de aanval geslaagd was.

       Bovenstaande laat zien dat actoren nog steeds bezig zijn om de COVID-19-situatie uit te buiten. Criminelen zullen doorgaan met het aanvallen van diverse sectoren voor financieel gewin. Buitenlandse partners gaven aan ransomware-aanvallen te zien op de zorgsector en daaraan gelieerde organisaties. Het NCSC heeft dit binnen Nederland nog niet waargenomen.

    5. USB-dreigingen die 'air-gapped'-netwerken overbruggen

       TrendMicro publiceerde uitgebreid onderzoek naar de USBFerry-malware. Deze malware verspreidt zich via USB-sticks en verzamelt op geïnfecteerde systemen informatie en documenten om deze, ook weer via USB, uit het netwerk te exfiltreren. De malware is volgens onderzoekers afkomstig van de Tropic Trooper/keyboy-actor die met name in Azië aan politieke, militaire, high-tech, medische en logistieke spionage doet.

       ESET publiceerde een analyse van de Ramsay-malware. Deze malware verspreidt zich door het infecteren van executable bestanden op USB-sticks. Op geïnfecteerde systemen worden vervolgens documenten verzameld om in een ander Word-document te worden verstopt. Vervolgens kan de gestolen informatie via dit document naar buiten toe worden geëxfiltreerd. De malware heeft overeenkomsten met de Retro-backdoor.

       Eerder gaf de FBI een “Flash”-waarschuwing uit over USB-sticks die, soms samen met een teddybeer of cadeaubon, per post worden verstuurd.

       Verschillende actoren gebruiken USB-malware gericht op air-gapped netwerken. Ook in Europese en Nederlandse Vitale infrastructuur wordt (volgens onderzoekers rond de 44%) oude ongerichte USB-malware zoals Rimecud en Ramnit aangetroffen. De mogelijke impact van deze ongerichte malware wordt vaak onderschat. In de Davis Besse-kerncentrale zorgde het netwerkverkeer van een eenvoudige Slammer-infectie er voor dat controlesystemen voor de reactortemperatuur uitvielen. Vergelijkbare problemen kunnen ontstaan als malware al het geheugen opslokt of kernelcrashes veroorzaakt.
       De ongerichte malware die wordt aangetroffen toont het potentieel voor gerichte aanvallers. Omdat air-gapped netwerken niet met het internet verbonden zijn is het vaak lastig om virusscanners te updaten. In bijna alle air-gapped netwerken is het mede hierom van belang applicatie-allow-lists te gebruiken (zoals het in Windows Pro standaard meegeleverde Applocker). Ook kan met een register-hack het autorun.inf bestand grondiger uitgeschakeld worden dan in de standaard Windows configuratie. In het Windows register wordt bijgehouden welke USB-sticks verbonden zijn geweest.

    6. Energiesector doelwit van digitale aanvallen

       Er was de afgelopen maand veel aandacht voor de digitale dreiging op de energiesector in Europa en de VS. Zo waarschuwde de Duitse overheid voor gerichte aanvallen op de Duitse energie- en watersector door de Russische statelijke actor Berserk Bear. De actor viel via de leveranciersketen Duitse energiebedrijven aan om informatie te stelen en toegang te verkrijgen tot productiesystemen. Afgelopen maand is Elexon, een Britse energiedienstverlener, slachtoffer geworden van een cyberaanval. Ondanks dat Elexon geen directe rol heeft in het leveren van stroom faciliteert het wel de Britse energiemarkt door de energieaanvoer te berekenen en te controleren of dit overeenkomt met gemaakte afspraken. In de VS is de noodtoestand afgekondigd vanwege de dreiging van digitale aanvallen op de energiesector. De president van de VS tekende op 1 mei een decreet waarmee de Amerikaanse overheid meer mogelijkheden krijgt om maatregelen te nemen om de energiesector te beschermen voor digitale aanvallen.

       De verbondenheid van de Europese energiemarkt kan gevolgen hebben voor de energietoevoer door fluctuatie in vraag en aanbod van energie. Digitale aanvallen op de energiesector kunnen een (langdurig) ontwrichtend effect hebben zoals gebleken bij de digitale aanvallen op het Oekraïense energienet in 2015 en 2016. In het meest recente jaarverslag van de AIVD wordt de mogelijke verstoring en sabotage van de vitale infrastructuur nog aangeduid als één van de grootste digitale dreigingen voor Nederland. Berserk Bear (ook bekend als Energetic Bear, Crouching Yeti en Dragonfly) wordt door beveiligingsbedrijven en overheden geattribueerd aan Rusland.

       Al langer waarschuwt de Amerikaanse overheid voor aanvallen op de energiesector, onder meer van deze actor. Met het decreet verrijkt de Amerikaanse overheid hun bevoegdheden om maatregelen te kunnen nemen.

18. April 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in april 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Het nieuwe werken, vergaderen op afstand

       Gedurende de COVID-19 pandemie werken de meeste mensen thuis. Dit leidt tot een andere manier van werken, waaronder vergaderen doormiddel van videobellen. De afgelopen maand is verschillende software voor videobellen negatief in de media geweest. Om een goede keuze te kunnen maken hebben verschillende organisaties selectiecriteria opgesteld die helpen bij het maken van de juiste (risico)afwegingen. Voorbeelden hiervan zijn: keuzehulp privacy bij videobel-apps van de Autoriteit Persoonsgegevens (AP) en het Digital Trust Center. Ook het NCSC heeft op haar website een aantal overwegingen geplaatst die uw organisatie mee kan nemen met de keuze voor een applicatie voor videobellen.

       Wanneer de organisatie nieuw is binnen de wereld van videobellen, raadt het NCSC aan om een weloverwogen keuze te maken voor bepaalde applicaties en deze te onderbouwen met een risicoafweging. Als de organisatie al gebruik maakt van een specifieke applicatie voor videobellen, houdt dan in de gaten of nieuwe updates of patches beschikbaar zijn voor kwetsbaarheden en neem aanvullende maatregelen indien kwetsbaarheden zijn geconstateerd bij een applicatie die bij uw organisatie in gebruik is. Elke oplossing voor videobellen, die nu op de markt te verkrijgen is, heeft voor- en nadelen.

    3. Digitale activiteiten rondom COVID-19

       Vorige maand werd al aandacht besteed aan digitale activiteiten rondom COVID-19, ook deze maand hebben zich verschillende noemenswaardige ontwikkelingen voorgedaan. De meeste artikelen in de media gaan over criminele activiteiten voor financieel gewin, zoals ransomware en oplichting met phishing-e-mails. Sommige cybercriminele organisaties gaven aan juist geen ziekenhuizen of zorggerelateerde organisaties aan te vallen gedurende de pandemie, Interpol geeft echter aan een stijging van ransomware-aanvallen op de zorgsector waar te nemen. Bij slachtoffers in de zorg- en farmaceutische sector is onder andere Maze, Ryuk en Crop ransomware geconstateerd. De ransomwarebesmettingen gebeurden via spamcampagnes met malafide bijlagen. Daarnaast maken criminelen misbruik van het thuiswerken door malafide apps en adware aan te bieden om vergaderen op afstand mogelijk te maken. Hierbij wordt malware geïnstalleerd die criminelen toegang geeft tot de geïnfecteerde computers.

       Naast criminele activiteiten zijn er deze maand ook statelijke activiteiten gerelateerd aan COVID-19 in het nieuws geweest. Waaronder van APT32, ook wel OceanLotus genoemd, die door het beveiligingsbedrijf FireEye in verband wordt gebracht met Vietnam. Uit onderzoek van FireEye blijkt dat APT32 geprobeerd heeft om de e-mailaccounts van Chinese ambtenaren te compromitteren die werkzaam zijn bij het ‘Ministry of Emergency Management’ en de lokale overheid van Wuhan. Een vermeende Iraanse actor heeft naar vier personen met kennis rondom COVID-19 binnen de Wereldgezondheidsorganisatie (WHO) spearphishing-e-mails gestuurd. Het doel was om middels een malafide link inloggegevens te stelen. Het is onbekend of deze accounts ook gecompromitteerd zijn en welke Iraanse actor achter deze aanval zat. Vanuit Tsjechië werd gewaarschuwd voor een mogelijk op handen zijnde aanval op de Tsjechische zorgsector. Twee ziekenhuizen in Tsjechië hebben melding gemaakt van een digitale aanval.

       Digitale aanvallen die gerelateerd zijn aan COVID-19 binnen Nederland zijn op dit moment voornamelijk phishing, ransom-ware en malafide apps. De in de media genoemde doelwitten bevinden zich buiten Nederland. Bij de aanvallen in Tsjechië is het onbekend om wat voor soort aanvallen het ging, welke intentie de actor had en de eventuele veroorzaakte impact. Eerder werd in maart een academisch ziekenhuis in Tsjechië slachtoffer van ransomware. Het NCSC acht het voorstelbaar dat ook Nederlandse organisaties in de zorgsector doelwit kunnen worden van digitale aanvallen zowel, met een crimineel als statelijk motief. Het NCSC deelt relevante informatie met partners en doelgroepen. Tevens hebben diverse cybersecuritybedrijven de handen ineen geslagen om digitale aanvallen op ziekenhuizen tegen te gaan zoals bijvoorbeeld het delen van dreigingsinformatie met Z-CERT.

    4. Nieuwe kwetsbaarheden in iOS e-mailapplicatie volgens onderzoekers actief misbruikt

       Het beveiligingsbedrijf ZecOps waarschuwt voor twee zero-daykwetsbaarheden in Apple Mail, de standaard e-mailapplicatie van iOS. Volgens ZecOps kunnen kwaadwillende hackers data buitmaken van iPhones en iPads, zelfs als deze gebruik maken van recentere iOS-versies. Op toestellen met iOS 13 volstaat het versturen van een e-mail naar een slachtoffer wanneer de mailapplicatie in de achtergrond is geopend, er is geen gebruikersinteractie vereist. In het geval van toestellen met iOS 12 moet de gebruiker eerst nog de e-mail openen. Wanneer de kwaadwillende controle over de mailserver heeft is het ook mogelijk om op iOS 12 de kwetsbaarheden zonder gebruikersinteractie te misbruiken. Na het onderzoeken van de twee zero-daykwetsbaarheden stelt ZecOps dat de kwetsbaarheden op grote schaal zijn misbruikt. Onder andere journalisten, beroemdheden en directeuren van bedrijven zouden op deze manier zijn aangevallen. De twee kwetsbaarheden zouden al zeker sinds iOS 6 uit september 2012 aanwezig zijn. Ontwikkelaar Apple geeft aan dat de kwetsbaarheden op zichzelf onvoldoende zijn om de beveiligingsmaatregelen van iPhone en iPad te omzeilen en dat er geen misbruik is waargenomen bij klanten. Apple gaat de zero-daylekken in een aankomende versie van iOS 13 verhelpen.

       De kwetsbaarheden op zichzelf kunnen niet leiden tot volledige toegang tot het device. Om gebruik te maken van de zero-daykwetsbaarheden, heeft een kwaadwillende naast de twee genoemde zero-daykwetsbaarheden nog een aanvullende kwetsbaarheid in de kernel – het hart van het besturingssysteem – nodig. Op dit moment is geen dergelijke kwetsbaarheid publiek bekend in iOS. Apple geeft aan geen bewijs te hebben dat de kwetsbaarheden zijn misbruikt en geeft ook aan dat de kwetsbaarheden niet genoeg zijn om de veiligheidsmechanismen van iOS te ondermijnen. In de aankomende versie van iOS 13.4.5 worden de kwetsbaarheden verholpen. Het NCSC heeft de kwetsbaarheid ingeschaald als High/Medium en raadt aan een andere mailcliënt binnen iOS te gebruiken, totdat versie 13.4.5 is uitgebracht.

    5. Digitale aanvallen op sectoren met vitale processen

       Volgens Cisco Talos heeft een criminele actor een verzameling malware geschreven en daarmee industriële controlesystemen (ICS) binnen de energiesector in Azerbeidzjan gecompromitteerd. Om gebruikers te motiveren malafide macro’s in Office-documenten te activeren werd de indruk gewekt dat het om urgente COVID-19-documenten ging. Afgelopen maand werden Energias de Portugal één van de grootste Europese energieleveranciers en Desmi Pumps, een leverancier van pompen aan de scheepvaart en industriële sectoren, slachtoffer van ransomware. Deze maand waarschuwde de luchthaven van San Francisco dat haar websites waren gecompromitteerd en adviseerde bezoekers van die sites hun Windows-wachtwoorden te wijzigen. Het beveiligingsbedrijf ESET had de luchthaven gewaarschuwd dat er op de sites watering hole-code was toegevoegd die wachtwoorden verzamelde van alle Windowsgebruikers die de site bezochten.

       Er was de afgelopen maand internationaal veel aandacht voor cyberaanvallen op (toeleveranciers van) vitale sectoren. De potentiële digitale verstoring van vitale infrastructuur en essentiële bedrijfsvoering vormt één van de grootste cyberbedreigingen voor Nederland. Naast de gebruikelijke ransomware zijn er ook actoren die gevoelige informatie verzamelen of met fraude en afpersing geld proberen te verdienen. Om de kans op dergelijke incidenten te verkleinen kunnen simpele basismaatregelen al helpen zoals: gebruikers niet toestaan Office-macro’s aan te zetten, uitgaand Service Message Block (SMB)-verkeer filteren op firewalls, applocker of vergelijkbare applicatiewhitelisting gebruiken en het met moderne Windowsversies tegengaan van de mogelijkheid om door het netwerk heen bewegen.

19. Maart 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in maart 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. COVID-19-gerelateerde digitale aanvallen

       Naast dat COVID-19 ons allemaal zowel op persoonlijk als op professioneel vlak beïnvloedt en bezighoudt, heeft de pandemie ook op digitaal gebied impact. In de afgelopen weken zijn uiteenlopende digitale aanvallen waargenomen met COVID-19-thematiek waarbij verschillende modus operandi zijn toegepast. Wereldwijd worden veel COVID-19-gerelateerde phishingcampagnes waargenomen. In februari waarschuwde de Wereldgezondheidsorganisatie (WHO) al voor phishingcampagnes met COVID-19-thematiek. Via phishing worden verschillende ransomwarevarianten verstuurd zoals Ryuk, Netwalker en Maze. Ook de zorgsector werd daarmee aangevallen, ondanks dat sommige actoren achter ransomwarevarianten hadden aangegeven tijdelijk geen digitale aanvallen uit te voeren op de zorgsector.
       In een aantal Europese landen zijn digitale aanvallen gericht op de  zorgsector  waargenomen. Daarbij kregen Franse ziekenhuizen te maken met een DDoS-aanval, werd ransomware ‘Netwalker’ gedetecteerd bij Spaanse ziekenhuizen en werd een Tsjechisch ziekenhuis slachtoffer van ransomware. De Nederlandse zorgsector lijkt vooralsnog geen slachtoffer te zijn geworden van digitale aanvallen.
       Ook worden COVID-19 thema’s ingezet voor malafide applicaties, malware en zelfs besmette e-boeken om slachtoffers te maken. Daarnaast was er een phishingcampagne opgericht waarbij een ‘antibacteriële betaalpas’ werd aangeboden.
       In Nederland zijn voorbeelden bekend bij (overheids)partijen van COVID-19-gerelateerde phishingaanvallen. Statelijke actoren spelen ook in op de huidige zorgen binnen de maatschappij en voeren aan COVID-19-gerelateerde digitale aanvallen uit. Eerder liepen een vermeende Russische digitale aanval en een desinformatiecampagne zelfs uit tot rellen in Oekraïne. Het door COVID-19 zwaargetroffen Iran heeft een applicatie ontwikkeld voor burgers om te controleren of de symptonen die ze hebben, overeenkomen met COVID-19. Iran zou de applicatie behalve voor legitieme doeleinden, mogelijk ook gebruiken om op de achtergrond meer informatie te verzamelen over gebruikers. In Nederland is een soortgelijke applicatie ontwikkeld door het OLVG, met het verschil dat deze applicatie enkel gebruikt wordt voor legitieme doeleinden.

       Zowel criminelen als statelijke actoren spelen handig in op de actualiteit om hun doelen te bereiken. Actoren maken hierbij vaak gebruik van het opportunisme om aanvallen te laten slagen. Gebruik maken van grote manifestaties zoals de Olympische Spelen werden al eerder misbruikt voor digitale aanvalscampagnes bijvoorbeeld. Vanzelfsprekend ging en gaat veel aandacht uit naar de digitale weerbaarheid van de zorgsector.

    3. Vrije keuze voor communicatiemiddelen brengt risico’s met zich mee

       Vanwege het grote aantal werknemers dat in deze periode is gaan thuiswerken, worden op grote schaal digitale communicatiemiddelen geïnstalleerd om met elkaar in contact te blijven. Met name het videobellen is sterk toegenomen. Als organisaties daar geen software in de werkomgeving voor aanbieden, dan kiezen gebruikers vaak zelf voor een alternatief communicatiemiddel. Organisaties staan hierbij voor een uitdaging; de zelfgekozen platformen voldoen niet altijd aan het beveiligingsbeleid van de organisatie. De drempels die het werken op afstand opwerpen en het niet faciliteren van de benodigde middelen kunnen ook leiden tot gebruikersgemak, waarbij wordt gekozen voor een gemakkelijke manier of bekende applicatie. Bijvoorbeeld om vertrouwelijke informatie met elkaar te kunnen delen, echter gaat dit dan niet altijd op meest veilige manier of volgens de geldende interne beveiligingsrichtlijnen. Naast het in acht nemen van bepaalde veiligheidsmaatregelen tijdens het gebruik van communicatiemiddelen, geldt dit ook voor de omgang met privacywet- en regelgeving. Zo hebben de Autoriteit Persoonsgegevens en hun Europese evenknieën gewaarschuwd dat de beginselen van de privacywetgeving AVG van toepassing blijven en de coronacrisis geen excuus is om persoonsgegevens laagdrempeliger te verwerken of te verspreiden.

       Het NCSC heeft in het verleden gezien dat organisaties worstelden met de opkomst van berichtenapps. In reactie daarop heeft het NCSC de factsheet ‘Kies een berichtenapp voor uw organisatie’ uitgegeven. Eén van de constateringen uit die factsheet is dat het tegenhouden van dergelijke diensten niet effectief is. Het aanbieden van een dienst die in de juiste configuratie aan het organisatiebeleid voldoet, is de meest effectieve manier om ervoor te zorgen dat (vertrouwelijke) informatie op de meest veilige wijze verstuurd wordt. Wanneer gebruikers dit niet aangeboden krijgen, zullen zij op zoek blijven naar mogelijkheden om hun doel toch te bereiken. De factsheet richt zich op berichtenapps, maar de aanbevelingen daaruit zijn evengoed van toepassing op andere diensten zoals video-vergaderen en bestanden delen. Het NCSC heeft op de website een aantal overwegingen voor videobellen gepubliceerd. Voor meer informatie over veilig thuiswerken, kunt u onze website raadplegen.

    4. Bij actief misbruik van kwetsbaarheden is patchen alleen niet altijd genoeg

       Er waren deze maand diverse kwetsbaarheden in het nieuws. Het publiek maken van een kwetsbaarheid gaat niet altijd zoals in de NCSC-leidraad voor coordinated vulnerability disclosure (CVD) staat beschreven. Het gebeurt steeds vaker dat ‘1day-exploits’ snel na de publicatiedatum online verschijnen. Dikwijls is dat nog voordat patches beschikbaar zijn gesteld of organisaties de tijd hadden om deze te installeren. Het installeren van officiële patches is de meest eenvoudige en betrouwbare manier om een kwetsbaarheid te verhelpen, maar soms is een complexe mitigatie-noodgreep nodig. Het is dan ook van belang om naast het reguliere patchmanagement aanvullende mitigerende maatregelen tijdig te kunnen treffen. Actoren maken steeds sneller gebruik van openbaar gemaakte kwetsbaarheden, dan kan het installeren van de patch weleens te laat zijn indien tussentijds geen aanvullende maatregelen zijn genomen. Om dit soort situaties aan te kunnen, is het nodig om de soft- en hardware en het netwerk te kennen en op orde te hebben, zodat de mogelijke impact van kwetsbaarheden snel kan worden ingeschat. Om vervolgens een gedegen afweging te kunnen maken door de organisatie over de toepassing van mitigerende maatregelen en de installatie van beschikbare patches. Het NCSC ondersteunt hierbij door het maken van beveiligingsadviezen.

20. Februari 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in februari 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Ondersteuning van TLS 1.0 en 1.1 stopt in bekende browsers

       Mozilla, Apple en Google maakten in februari bekend dat zij om veiligheidsredenen binnenkort TLS 1.0 en TLS 1.1 niet langer ondersteunen. Met de volgende versie van Chrome (81) is het niet langer mogelijk om websites te bezoeken die uitsluitend van deze verouderde TLS-versies gebruik maken. Firefox blokkeert de toegang tot deze websites, maar geeft voor beperkte tijd de mogelijkheid om deze blokkade te negeren. Apple kondigde aan de ondersteuning vanaf medio maart te beëindigen.

       Transport Layer Security (TLS) is het meest gebruikte protocol voor het beveiligen van verbindingen op internet. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN). Het NCSC adviseerde al eerder in de beveiligingsrichtlijnen voor TLS om TLS 1.0 en 1.1 uit te faseren. Zorg er voor dat uw servers TLS 1.2 en 1.3 ondersteunen en daaraan de voorkeur geven. Gebruik uitsluitend TLS 1.0 en 1.1 wanneer dat nodig is met het oog op de client-compatibiliteit en formuleer duidelijke criteria voor de beëindiging van het gebruik ervan. Via www.internet.nl kunt u eenvoudig controleren of uw website TLS 1.2 en 1.3 ondersteunt.

    3. Krook-kwetsbaarheid treft wifi-chips van groot aantal producten

       Onderzoekers presenteerden op de RSA-conferentie een nieuwe kwetsbaarheid die zich in een groot aantal wifichips bevindt. De kwetsbaarheid bevindt zich in wifichips van Broadcom en Cypress. Deze chips zitten in een groot aantal producten, zoals bijvoorbeeld smartphones en draadloze routers. De onderzoekers hebben de kwetsbaarheid ontdekt naar aanleiding van het testen van apparaten op de KRACK-kwetsbaarheid. Bij het sluiten van een wifiverbinding wordt de sessiesleutel, die voor versleuteling wordt gebruikt in het geheugen, overschreven door nul-waarden. De onderzoekers ontdekten dat als er nog data aanwezig is in de buffer die wordt gebruikt voor het verzenden van data (Tx-buffer), deze data na het overschrijven van de sessiesleutel door nul-waarden alsnog wordt verzonden. Doordat deze zeer zwakke sessiesleutel wordt gebruikt, kan een aanvaller deze data gemakkelijk ontsleutelen. Een aanvaller, die zich binnen het bereik van een wifinetwerk bevindt, kan het sluiten van een wifiverbinding forceren. Om dit te kunnen doen, hoeft een aanvaller niet op het wifinetwerk ingelogd te zijn. Vervolgens kan de aanvaller bovenstaande kwetsbaarheid misbruiken om nog aanwezige data in de Tx-buffer te ontsleutelen. Dit kan een aanvaller ook meerdere keren doen om zo meer data te kunnen ontsleutelen. De onderzoekers hebben de kwetsbaarheid vorig jaar ontdekt en via coordinated vulnerability disclosure fabrikanten op de hoogte gesteld zodat voor publicatie van de kwetsbaarheid beveiligingsupdates uitgebracht konden worden.

       Broadcom- en Cypress-chips zijn in een groot aantal producten verwerkt. Leveranciers van apparatuur die wifi ondersteunt hebben updates uitgebracht of brengen updates uit om de Kr00k-kwetsbaarheid te verhelpen. Installeer deze updates, zowel op clients (denk bijvoorbeeld aan laptops, smartphones en embedded devices) als op accesspoints. Er zullen echter ook een groot aantal apparaten geen updates meer ontvangen, omdat deze niet meer door de fabrikant worden ondersteund. Hiervoor verwijzen wij u graag door naar de NCSC-publicatie ‘Zicht op risico's van legacysystemen’. De aanvaller moet fysiek in de buurt van het wifinetwerk zijn dat hij wil aanvallen. Kr00k is daarom lastig op grote schaal efficiënt uit te voeren. Er is geen misbruik bij het NCSC bekend. Eventueel misbruik zal naar verwachting zeer gericht zijn. Informatie die op een ander netwerkniveau afdoende beveiligd is, kan door middel van deze kwetsbaarheid niet worden onderschept. Tref waar nodig aanvullende maatregelen voor verbindingsbeveiliging op een ander niveau in het netwerk, bijvoorbeeld door beveiliging met https of TLS of het toepassen van VPN-verbindingen.

21. Januari 2020

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in januari 2020 hebben voorgedaan op het gebied van cybersecurity.

    2. Citrix-kwetsbaarheid heeft veel impact in Nederland

       Januari kenmerkte zich voor het NCSC en veel organisaties in Nederland door een kwetsbaarheid in de Citrix-producten Citrix ADC en Citrix Gateway servers (voorheen bekend als Citrix Netscaler). Citrix publiceerde 17 december 2019 voor het eerst over deze kwetsbaarheid. Begin januari werden scans waargenomen naar Citrix-servers die kwetsbaar waren voor deze kwetsbaarheid. Niet snel daarna kwam een exploit voor de kwetbaarheid publiek beschikbaar. Er was een potentieel aanzienlijke impact van misbruik en er waren twijfels over de toereikendheid van de tijdelijke oplossing,  Citrix gaf zelf aan dat de tijdelijke oplossing niet bij alle versies effectief was. Dit leidde op 16 en 17 januari tot adviezen van het NCSC (mede op basis van een bericht van de AIVD) Citrix-systemen uit te schakelen waar dat kon en anders aanvullende maatregelen te treffen. Verschillende organisaties besloten daarop Citrix-systemen uit te schakelen, wat vaak tot gevolg had dat medewerkers niet op afstand konden werken. Op 25 januari had Citrix voor alle kwetsbare versies patches beschikbaar. Verschillende partijen meldden dat de kwetsbaarheid werd misbruikt om onder andere ransomware en miningmalware te verspreiden. In de media verschenen ook berichten over Nederlandse organisaties die via de Citrix-kwetsbaarheid werden aangevallen. Bij de Autoriteit Persoonsgegevens zijn verschillende meldingen gedaan van mogelijke datalekken. De kwetsbaarheid kreeg veel aandacht in de Nederlandse media, opvallend was dat doordat veel mensen niet thuis konden werken zelfs werd gesproken van ‘Citrix-files’ op snelwegen. Inmiddels hebben andere CSIRT’s soortgelijke adviezen als die van het NCSC gepubliceerd (CISA, CERT.BE)

       De Citrix-kwetsbaarheid heeft bij veel organisaties een grote impact gehad. Het NCSC heeft veel vragen ontvangen omtrent deze kwetsbaarheid en de te nemen maatregelen. Naar aanleiding hiervan heeft het NCSC een FAQ en stroomschema voor risicoafweging beschikbaar gesteld. Bij het NCSC zijn verschillende gevallen van misbruik van de Citrix-kwetsbaarheid bekend. Naast goed patchmanagement toont deze kwetsbaarheid dat ook mitigatiemaatregelen van belang zijn om compromittatie te voorkomen bij bekende kwetsbaarheden waar nog geen patch voor beschikbaar is.

    3. Ransomwaremakers lekken data als slachtoffer niet betaalt

       De makers van Maze-ransomware voeren druk uit op slachtoffers die weigeren te betalen door gestolen data te lekken. In eerste instantie publiceren ze de (bedrijfs)naam van het niet-betalende slachtoffer en dreigen ze buitgemaakte data te publiceren als het slachtoffer niet alsnog betaalt. Eind december zijn de makers van Maze-ransomware daadwerkelijk begonnen met het lekken van een deel van de gegevens van niet-betalende slachtoffers. Van de Amerikaanse stad Pensacola en de Amerikaanse kabelproducent Southwire zijn inmiddels gegevens openbaar gemaakt. De makers van Maze-ransomware dreigen elke week 10% van de gestolen data te publiceren zolang het slachtoffer niet betaalt. 

       De combinatie van ransomware met het lekken van data ver-groot het dilemma waar een slachtoffer van ransomware voor komt te staan. Niet betalen geeft de mogelijkheid om de gestolen data terug te krijgen, maar brengt het risico met zich mee dat gevoelige informatie op straat komt te liggen. Deze ontwikkeling in ransomware-aanvallen verhoogt de drempel voor slachtoffers om het besluit te nemen niet te betalen. Toch adviseert het NCSC slachtoffers van ransomware niet tot betaling over te gaan omdat dit het verdienmodel van criminelen in stand houdt. Zie voor dit advies en maatregelen om ransomware te voorkomen het NCSC-websitebericht ‘Ransomware: wat kunt u doen?’. Daarnaast verwijzen wij u graag door naar het artikel ‘Datalek door ransomware: wat moet u doen?‘ van de Autoriteit Persoonsgegevens (AP) voor het melden van een eventueel datalek. Het NCSC heeft geen aanwijzingen dat de Maze-ransomware of deze methode specifiek in Nederland speelt.

    4. Nieuwe aanval op SHA-1

       Onderzoekers hebben een nieuwe aanvalstechniek op de cryptografische hashfunctie SHA-1 gepubliceerd. Het gaat om een zogenaamde chosen-prefix collision-aanvalstechniek. De aanvalstechniek is een snellere variant van een eerder gepubliceerde aanvalstechniek op SHA-1. De onderzoekers hebben aangetoond dat deze aanvalstechniek uit te voeren is met een budget van minder dan honderdduizend Amerikaanse dollar. Naar aanleiding van de gepubliceerde aanvalstechniek heeft het NCSC de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) opnieuw gevalideerd, en geconcludeerd dat er geen wijzigingen nodig zijn.

       SHA-1 is een verouderde hashfunctie, die voor de meeste praktische toepassingen al jaren ontraden wordt. Dat betekent helaas niet dat hij nergens meer gebruikt wordt: de onderzoekers hebben bijvoorbeeld laten zien hoe een aanvaller deze methode kan gebruiken om handtekeningen op PGP-sleutels na te maken. Dit onderzoek onderstreept de noodzaak om SHA-1 niet langer te gebruiken voor digitale handtekeningen. Het valt te verwachten dat deze aanvalstechniek in de komende jaren verder versneld zal worden, waardoor aanvallen in de praktijk waarschijnlijker worden. De adviezen van de onderzoekers richten zich vooral op makers van software die SHA-1 gebruiken, omdat het aan hen is om hun producten aan te passen. Eindgebruikers en organisaties kunnen zich het beste beschermen tegen dergelijke aanvallen door geen verouderde softwareversies te blijven gebruiken, en in eigen toepassingen te kiezen voor moderne hashfuncties zoals SHA-2 of SHA-3.

       Chosen-prefix collision-aanvalstechnieken zijn een gevaarlijke aanvalstechnieken op cryptografische hashfuncties, omdat een aanvaller deze kan gebruiken om systemen in de praktijk te kraken. Zo hebben Nederlandse onderzoekers in 2007 een soortgelijke kwetsbaarheid in de hashfunctie MD5 gebruikt om vervalste x509-certificaten bij een certificaatautoriteit aan te schaffen. De onderzoekers die deze nieuwe aanvalstechniek hebben gepubliceerd, gebruiken soortgelijke technieken om twee PGP-sleutels met dezelfde fingerprint te genereren. Handtekeningen op de ene sleutel zijn dan te hergebruiken als handtekeningen op de andere sleutel, terwijl de partij die de handtekening plaatst deze andere sleutel nooit gezien heeft.

       De ICT-beveiligingsrichtlijnen voor TLS van het NCSC ontraden het gebruik van SHA-1 voor certificaatverificatie, en adviseren SHA-1 uit te faseren voor gebruik in sleuteluitwisseling. Is uw gebruik van TLS in lijn met de adviezen uit deze richtlijnen, dan hoeft u niets te veranderen naar aanleiding van deze publicatie.

    5. Microsoft kwetsbaarheden en inschaling

       Afgelopen maand werden verschillende ernstige kwetsbaarheden in Microsoft-producten bekend. Hierbij ging het onder meer om kwetsbaarheden in Internet Explorer (een zero-daykwetsbaarheid waar waarschijnlijk in februari een update voor wordt uitgebracht) en RD Gateway. De kwetsbaarheden in beide producten stellen een kwaadwillende in staat om willekeurige code uit te voeren. De kwetsbaarheden kregen door Microsoft de inschaling critical. Het NCSC heeft over deze kwetsbaarheden beveiligingsadviezen uitgebracht. De kwetsbaarheid van Internet Explorer werd bij het eerste beveiligingsadvies “NCSC-2020-0056” ingeschaald met kans: Medium, schade: Medium. Bij update 1.01 van het beveiligingsadvies, is deze na het bekend worden van actief misbruik opgehoogd naar kans: High, schade: Medium. De RD Gateway kwetsbaarheid werd door het NCSC ingeschaald als High / High.

       Afgelopen weken kregen wij van onze partners enkele vragen over de inschaling. Hierbij ging het voornamelijk om vragen over de Internet Explorer-kwetsbaarheid die door het NCSC werd ingeschaald met kans: Medium, schade: Medium. Enkele organisaties stelden hierbij de vraag hoe wij tot deze inschaling zijn gekomen. Het NCSC gebruikt voor het inschalen van kwetsbaarheden een inschalingsmatrix. Op basis van specifieke criteria van de kwetsbaarheid wordt er gescoord om tot een inschaling te komen. Op basis van het aantal gescoorde punten wordt bepaald wat voor inschaling er is voor de kans en de schade. Hierin maken wij onderscheid tussen low, medium en high. Omdat er voor de Internet Explorer-kwetsbaarheid nog geen publieke Proof-of-Concept- of exploitcode was waargenomen, is de inschaling in eerst instantie uitgekomen op Medium /  Medium. Deze op technische aspecten gebaseerde inschaling neemt eventuele impact op uw specifieke organisatie niet mee. Kans en schade zijn hier niet gelijk aan impact. Bij bijvoorbeeld de Citrix-kwetsbaarheid (zie het artikel daarover hierboven) kan het NCSC de impact op uw specifieke organisatie (de gevolgen van bijvoorbeeld niet thuis kunnen werken) niet inschatten. Het is aan te bevelen, altijd een risico-afweging specifiek voor uw organisatie te maken.

22. December 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in december 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Onderzoekers ontdekken 54 ernstige Siemens-kwetsbaarheden

       Siemens heeft een beveiligingsadvies uitgebracht voor 54 ernstige kwetsbaarheden in de SPPA-T3000 Application Server en MS3000 Migration Server. Deze industriële controlesystemen (ICS) worden wereldwijd gebruikt, met name in energiecentrales. Een aantal van de kwetsbaarheden kan worden misbruikt om willekeurige code uit te voeren op de server. De kwetsbaarheden, die tot en met een score van 9.8 op een schaal van 10 zijn ingeschaald volgens het Common Vulnerability Scoring System (CVSS), werden in een CVD-traject bij Siemens gemeld door beveiligingsonderzoekers. De kwetsbaarheden zijn op drie na nog niet verholpen. Siemens raadt gebruikers van deze systemen aan om deze los te koppelen van andere netwerken en het internet.

       Het is voorstelbaar dat de kwetsbare systemen ook in Nederland worden gebruikt. Om doelgroeporganisaties gericht te kunnen informeren over dreigingen en kwetsbaarheden, is het van belang dat het NCSC zicht heeft op de systemen die binnen deze organisaties worden gebruikt. Doelgroeporganisaties van het NCSC kunnen een lijst van software- en hardwareproducten (de zogenoemde foto) bij het NCSC aanleveren om gerichte beveiligingsadviezen te ontvangen. Dit geldt ook voor de producten die binnen het ICS-domein worden gebruikt. Voor het aanleveren of updaten van informatie over uw organisatie kunt u contact opnemen met samenwerken@ncsc.nl. Het NCSC adviseert nadrukkelijk om ICS of elke andere vorm van procesmonitoring en/of –besturing niet met internet te verbinden. Indien er toch toegang van buiten noodzakelijk is, dient dit veilig ingericht te worden.

    3. Kwetsbaarheden in Barco ClickShare kunnen gevoelige informatie lekken

       Onderzoekers hebben kwetsbaarheden ontdekt in Barco ClickShare, een apparaat dat door veel organisaties wordt gebruikt bij het geven en delen van presentaties. Door misbruik van deze kwetsbaarheden kan een kwaadwillende niet alleen presentaties, maar mogelijk ook wachtwoorden en andere gevoelige bedrijfsinformatie ongemerkt onderscheppen. Via deze kwetsbaarheden kan een backdoor geïnstalleerd worden waarmee een kwaadwillende de toegang tot het systeem verkrijgt en kan behouden. De onderzoekers geven aan dat een kwaadwillende fysiek in de buurt van het apparaat moet zijn om de kwetsbaarheden te misbruiken.

       Barco Clickshare is een bekend product dat door veel organisaties wordt gebruikt. Met name bij presentaties met een extern publiek zijn de kwetsbaarheden vatbaar voor misbruik als een kwaadwillende zich in het publiek begeeft. Bovendien is ClickShare een apparaat dat vaak door verschillende personen achtereenvolgens wordt gebruikt. Als het apparaat gekoppeld wordt aan verschillende laptops wordt de schaal van mogelijk misbruik groter. Inmiddels heeft Barco een update voor de ClickShare-apparaten uitgebracht. Het NCSC adviseert organisaties om alle ClickShare-apparaten te voorzien van deze update. Doelgroeporganisaties van het NCSC die ClickShare-producten gebruiken, worden verzocht dit door te geven aan het NCSC als aanvulling op de lijst met software- en hardwareproducten.

    4. Generieke Trickbot-malware-infecties mogelijk gebruikt door statelijke actor

       Het beveiligingsbedrijf SentinelOne ontdekte dat via een Trickbot-infectie malware is gedownload. Deze malware wordt door beveiligingsonderzoekers geattribueerd aan de actor Lazarus. Trickbot is generieke malware die voor verschillende doelen (met hoofdzakelijk financieel gewin als motief) wordt ingezet. Lazarus is een door beveiligingsonderzoekers aan Noord-Korea geattribueerde actor. Via de Trickbot-module Anchor werd een domein (dat eerder door Lazarus was ingezet als C&C server) gebruikt om de aan Lazarus toegeschreven PowerRatankba-malware te downloaden.

       Tegelijk met dit rapport is ook een rapport over TrickBot en Anchor verschenen van het beveiligingsbedrijf Cybereason. Hierin wordt geen melding gemaakt van een mogelijk link met Noord-Korea. In de maandmonitor van september  vermeldden wij dat Emotet en Trickbot door onderzoekers worden gezien als opstap naar gerichte ransomware-aanvallen. De bevindingen van SentinelOne wijzen op een vergelijkbare dreiging (gerichte aanvallen) die mogelijk uitgaat van de Trickbot-malware. De scheiding tussen criminele en statelijke actoren of opportunistische en gerichte aanvallers is niet altijd duidelijk. Zodra een actor op het netwerk van een organisatie is binnengedrongen, zijn verschillende vervolgacties mogelijk, inclusief doorverkoop van toegang aan andere actoren. Beveiligingsmaatregelen worden vaak genomen met het oog op geavanceerde dreigingen. Gezien de dreiging die uitgaat van generieke malware is het van belang om de basisbeveiligingsmaatregelen niet uit het oog te verliezen. Denk hierbij aan de door het NCSC uitgebrachte adviezen over het goed inrichten van patchmanagement, maatregelen omtrent legacysystemen of awareness-campagnes.

    5. Nieuwe publicaties van ENISA om weerbaarheid te verhogen

       Recent heeft het European Union Agency for Network and Information Security (ENISA) twee rapporten en een aanbeveling gepubliceerd. Het eerste rapport is het resultaat van een onderzoek dat ENISA heeft gedaan naar beveiligingseisen in de EU en internationale beveiligingsstandaarden. Hierin is een tool ontwikkeld waarmee aanbieders van essentiële diensten (maar ook andere organisaties) bij het bepalen van beveiligings- en beheersmaatregelen kunnen kijken in welke internationale standaarden (ISO, NIST, ISA/IEC) deze maatregelen voorkomen. Het tweede rapport dat ENISA gepubliceerd heeft, heet ‘Good practices for cybersecurity in the maritime sector’. Hierin worden de voornaamste geïdentificeerde dreigingen die een risico voor het havenecosysteem vormen en belangrijke digitale aanvalscenario's beschreven. Met deze aanpak kunnen beveiligingsmaatregelen worden opgesteld die havens zouden moeten nemen om zichzelf beter te beschermen tegen dreigingen. Het rapport is in samenwerking met verschillende EU-havens opgesteld. Daarnaast heeft de Europese Commissie aan ENISA gevraagd om een ‘cybersecurity certification candidate scheme’ op te stellen voor clouddiensten. Een speciale werkgroep heeft hiertoe een aanbeveling uitgebracht. Op basis van deze aanbeveling probeert ENISA te komen tot Europese cloud-certificering.

       ENISA is het Europese agentschap voor cybersecurity. En draagt bij aan het verhogen van de paraatheid en weerbaarheid van cybersecurity in EU-lidstaten. ENISA doet dit onder andere door informatieuitwisseling tussen EU-lidstaten te verbeteren. Het NCSC steunt de initiatieven van ENISA, vertegenwoordigt Nederland in ENISA’s Management Board en fungeert als eerste contactpunt in Nederland voor ENISA. Wilt u de ontwikkelingen omtrent ENISA blijven volgen? De ENISA-nieuwsbrieven zijn te vinden op de website van het NCSC.

    6. Universiteit Maastricht getroffen door ransomware

       De Universiteit Maastricht is slachtoffer geworden van ransomware. Bijna alle Windowssystemen zijn geraakt. Verschillende websites (zoals universiteitsdomeinen en Blackboard) en het mailsysteem werken niet meer. Daarnaast zijn de digitale bibliotheek en de Student Portal offline en heeft de universiteit geen toegang tot veel wetenschappelijke data. Vooralsnog lijkt het er niet op dat de aanvallers toegang hebben tot de wetenschappelijke data maar dit is nog in onderzoek. De vermeende ransomware wordt ‘CLOP’ genoemd, een ransomwarevariant die in februari 2019 werd ontdekt. Beveiligingsonderzoekers van SentinelLabs geven aan dat TA505, een Russische criminele groep, achter de CLOP-ransomware zit. Deze actor vraagt losgeld in Bitcoins en neemt daarbij de jaarrekeningen van hun doelwitten als uitgangspunt om de hoogte van het losgeldbedrag te bepalen. Universiteit Maastricht heeft hulplijnen geopend voor studenten, docenten en medewerkers en heeft aangifte gedaan. Tevens zijn Kamervragen gesteld over de situatie en welke stappen worden genomen om te garanderen dat wetenschappelijke data beschermd wordt.

       Universiteit Antwerpen werd in 2019 getroffen door de CLOP- ransomware. Het is niet bekend welke actor destijds betrokken was. De actor TA505 is sinds 2014 actief en staan bekend om het verspreiden van malware. Daarnaast worden zij in verband gebracht met diverse banking trojans (o.a. Dridex en Trick) en ransomware zoals Locky en Jaff. Het NCSC heeft op de website een artikel over ransomware beschikbaar gesteld.

23. November 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in november 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Statelijke actoren maken gebruik van spoofing

       Afgelopen juli tot en met september gaf het dreigingsanalyseteam van Google 12.000 waarschuwingen af voor phishingaanvallen door statelijke actoren. Het voornaamste doel was het verkrijgen van inloggegevens om accounts over te kunnen nemen. Deze maand verscheen een bericht dat de helft van de overheidsdomeinen kwetsbaar is voor e-mailspoofing. Spoofing houdt in dat een kwaadwillende zich voordoet als bijvoorbeeld een legitieme overheidsorganisatie. Deze techniek wordt veel gebruikt bij het uitvoeren van phishingaanvallen.

       Zonder de juiste beveiliging kan ook uw domein door kwaadwillenden misbruikt worden in bijvoorbeeld valse e-mails. Voor de ontvanger van een e-mail is het vaak lastig om phishing te herkennen, zeker als het afzenderadres echt lijkt. Gelukkig kan spoofing grotendeels technisch voorkomen worden. Bijvoorbeeld door het toepassen van e-mailstandaarden zoals Sender Policy Framework (SPF) en Domain-based Message Authentication, Reporting and Conformance (DMARC). Eind dit jaar behoren alle overheden SPF en DMARC op de juiste manier te hebben geïmplementeerd. Daarnaast is het streven binnen overheden om ook STARTTLS en DANE in te voeren. Deze standaarden richten zich op een ander risico: zij zorgen ervoor dat een e-mail onleesbaar blijft tijdens het transport. DNS-based Authentication of Named Entities (DANE) voorkomt dat een aanvaller een STRIPTLS-aanval kan doen. Een STRIPTLS-aanval is een Man-in-the-middle (MITM) aanval, waarbij de ‘afluisteraar’ de TLS-encryptie van een e-mail weghaalt. Zonder deze encryptie is de tekst van een e-mail in leesbare vorm beschikbaar, dus ook voor de aanvaller. Het beveiligen van deze verbinding is interessant voor elke organisatie die haar e-mail graag vertrouwelijk wil houden. Het NCSC adviseert om DANE te implementeren onder andere vanwege de dreiging die uit gaat van statelijke actoren. Met een implementatie bij zowel afzender als verzender, beveiligt DANE het verkeer al vanaf het eerste e-mailcontact. Dit verzekert de betrouwbaarheid van de e-mailwisseling met andere organisaties.

    3. Kwetsbaarheid in TPM-chips van Intel en STMicroelectronics kan diverse beveiligingstoepassingen raken

       Onderzoekers hebben een kwetsbaarheid gevonden in de digitale-ondertekeningsalgoritmes ECDSA en ECSchnorr op Trusted Platform Modules (TPM) van STMicroelectronics en Intel. Een TPM is een module waarmee de vertrouwelijkheid en integriteit van gegevens van hardware tot en met applicatieniveau kan worden gegarandeerd en is in bijna alle moderne computers aanwezig. Een kwaadwillende kan met een timing-aanval de privésleutels achterhalen, die gebruikt kunnen worden voor ondertekening. Hiertoe moet de kwaadwillende code kunnen uitvoeren op het systeem met de kwetsbare TPM. Ook kan in specifieke situaties de sleutel achterhaald worden via een aanval over een computernetwerk. Microsoft heeft aangegeven dat Windows ECDSA niet gebruikt en is daarom niet vatbaar voor de kwetsbaarheid. Andere software, bijvoorbeeld StrongSwan IPSEC, kan afhankelijk van de gebruikte instellingen wel gebruikmaken van TPM 2.0 en ECDSA.

       Er zijn diverse beveiligingstoepassingen die gebruikmaken van TPM. De gevonden kwetsbaarheid kan invloed hebben op deze toepassingen. Om de impact van deze kwetsbaarheid voor uw organisatie te bepalen, adviseert het NCSC om eerst te inventariseren of uw organisatie gebruik maakt van systemen met een kwetsbare TPM-chip. Een applicatie die gebruik maakt van een kwetsbare TPM-chip is mogelijk kwetsbaar wanneer het ECDSA- of ECSchnorr-algoritme wordt gebruikt. De kwetsbaarheid kan worden verholpen door de TPM-firmware te updaten. Diverse leveranciers (ST & Intel) hebben updates beschikbaar gesteld. In november en december zijn hiervoor diverse beveiligingsadviezen uitgestuurd. Neem bij onduidelijkheden contact op met uw leverancier voor details.

    4. Ransomware-aanvallen maken integrale benadering van informatiebeveiliging noodzakelijk

       Afgelopen maand publiceerden diverse media over organisaties die slachtoffer zijn geworden van verschillende soorten digitale aanvallen. Vooral het aantal getroffen organisaties door ransomware viel op. Dit soort aanvallen heeft onder meer financiële schade tot gevolg, waarbij het schadebedrag kan oplopen tot in de miljoenen. Diverse voorspellingen worden gedaan dat zowel het aantal aanvallen als de schade, die gepaard gaat met ransomware, de komende jaren zullen toenemen (Knowbe4 1 & 2). Er zijn nog steeds organisaties die de digitale veiligheid en met name hun basismaatregelen niet op orde hebben. Daardoor lopen deze organisaties een groter risico om slachtoffer te worden.

       De impact van digitale aanvallen op organisaties kan enorm zijn. Bewustwording over het belang van informatiebeveiliging als integraal onderwerp binnen de organisatie, is daarom op alle niveaus van belang. Vaak wordt informatiebeveiliging als iets technisch beschouwd en daarom bij een ICT-afdeling belegd. Het thema wordt dan alleen vanuit een technische invalshoek bekeken. Om informatiebeveiliging als een integraal onderwerp binnen de organisatie te laten leven, dient het thema vanuit alle invalshoeken te worden bezien. Wanneer een digitale aanval plaatsvindt, heeft dit immers niet alleen consequenties voor de ICT-afdeling of CISO, maar voor de gehele organisatie. Meer informatie over het krijgen van grip op informatiebeveiliging is onder andere te vinden op onze website.

    5. Scan biedt ondernemers inzicht in cyberweerbaarheid

       Het Ministerie van Economische Zaken en Klimaat (EZK) stelt op basis van onderzoek dat één op de vijf bedrijven jaarlijks te maken heeft met een cyberincident. Dat leidt tot bijvoorbeeld diefstal van data zoals klantgegevens of zelfs financiële schade. Het Digital Trust Center (DTC), onderdeel van EZK, heeft de Basisscan Cyberweerbaarheid gelanceerd. Hiermee kunnen ondernemers op een laagdrempelige manier zelf in korte tijd hun digitale veiligheid doorlichten. Volgens de staatssecretaris van EZK doen met name kleinere bedrijven er hun voordeel mee. Na het beantwoorden van 25 stellingen met onderwerpen als back-ups of wachtwoordmanagers krijgt de gebruiker van de scan, op basis van de ingevulde scores, een rapport met praktische tips om de digitale weerbaarheid te verbeteren. Vervolgens kan de uitkomst worden gebruikt om zelf of samen met derden concrete stappen te zetten in de cyberweerbaarheid.

       De scan is met name bedoeld voor ondernemers die een eerste stap willen zetten in het werken aan de cyberweerbaarheid. De scan is nadrukkelijk gericht op het weerbaarder worden tegen digitale dreigingen. De stellingen zijn gebaseerd op de door het DTC geformuleerde vijf basisprincipes van veilig digitaal ondernemen: ‘inventariseer kwetsbaarheden, kies veilige instellingen, voer updates uit, beperk toegang en voorkom virussen en andere malware’. Door middel van de scan kunnen ondernemers een eerste stap zetten in het in kaart brengen van hun risico’s en daar acties op nemen. De scan is dus slechts een begin, maar geeft door de praktische adviezen na afloop wel meteen een concreet perspectief voor de ondernemer om aan de slag te gaan of contact op te nemen met de ICT-leverancier.

24. Oktober 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in oktober 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. DDoS-afpersingscampagne door ‘Fancy Bear’

       Deze maand ontvingen meerdere organisaties in de financiële sector een DDoS-afpersingsmail uit naam van 'Fancy Bear'. Volgens publieke berichtgeving kregen de slachtoffers een email waarin namens de actorgroep Fancy Bear wordt gedreigd met een DDoS-aanval en wordt verzocht om binnen vijf dagen twee Bitcoins over te maken. Omstreeks ontvangst van deze email ondergingen slachtoffers een DDoS-aanval ter demonstratie wat de aanvallers op groter schaal dreigen uit te voeren.

       Het is, zoals in de publieke berichtgeving ook wordt aangegeven, zeer onwaarschijnlijk dat Fancy Bear achter deze campagne zit. Fancy Bear is een door verschillende partijen aan de Russische militaire inlichtingendienst GRU geattribueerd. De slachtoffers en modus operandi komen niet overeen met deze DDoS-dreiging. Deze modus operandi waarbij eerst een DDoS-aanval uitgevoerd wordt voor een dreigmail wordt verstuurd is de afgelopen jaren vaker waargenomen. Meestal blijft een daadwerkelijke aanval achterwege. 

       Het NCSC adviseert slachtoffers niet te betalen, maar om aangifte te doen van afpersing bij de Politie. Het NCSC adviseert technische en organisatorische maatregelen te treffen om uw organisatie tegen verschillende vormen van (D)DoS-aanvallen te beschermen. In de NCSC-factsheet 'Continuïteit van online diensten'  vindt u advies en tips over hoe u beschermingsmaatregelen kunt treffen.

    3. Russische aanvaller vermomde zich als Iraanse aanvaller

       In een Russische digitale spionagecampagne is het een Russische aanvaller gelukt om een Iraanse aanvaller te compromitteren en hiermee tientallen buitenlandse overheidsorganisaties en bedrijven aan te vallen. Dit wordt beschreven in een rapport, opgesteld door het Britse Nationaal Cyber Security Centre (NCSC-UK) en de Amerikaanse National Security Agency (NSA). De Russische aanvaller, beter bekend als Turla, Snake of Venomous Bear zou (via een nog niet bekend gemaakte wijze) toegang verkregen hebben tot de infrastructuur van een Iraanse aanvaller. Turla heeft na het verkrijgen van toegang eerst de eigen toegang tot de Iraanse infrastructuur veilig gesteld. Vervolgens heeft Turla, omdat Turla toegang had tot de operationele infrastructuur van de Iraniërs, potentiele doelwitten gescand op specifieke kwetsbaarheden die de Iraniërs misbruikte zodat deze door Turla ingezet kon worden. De Iraanse tools en infrastructuur werden op die manier door Turla misbruikt om nieuwe slachtoffers te maken. Ter aanvulling gebruikte Turla eigen tools en infrastructuur om de verkregen toegang tot nieuwe slachtoffers veilig te stellen. De nadruk van deze specifieke Turla-activiteiten lag op het Midden-Oosten, waar de interessegebieden van beide aanvallers overlappen.

       Turla wordt door onderzoekers geattribueerd aan de Russische veiligheidsdienst FSB. Turla is ook in Europa actief en voert geregeld digitale aanvallen uit op Europese overheidsinstellingen en bedrijven. Enkele maanden geleden scheef het beveiligingsbedrijf Symantec over hun onderzoek naar Turla en de vergaande toegang die Turla zou hebben tot de infrastructuur van een andere aanvaller. Eén van de tools die Turla misbruikte, wordt door de Iraanse Advanced Persistent Threat (APT)34 (ook wel OilRig genaamd) gebruikt, een aanvaller die zich voornamelijk richt op doelwitten in het Midden-Oosten. Hoe lang Turla toegang heeft gehad tot de Iraanse infrastructuur is niet bekend. Symantec schrijft dat zij vanaf 2017 activiteiten hebben waargenomen waarbij zowel gebruik is gemaakt van Iraanse infrastructuur en Turla-tools. Het is niet de eerste keer dat informatie over de infrastructuur en tools van APT34 op deze manier in het nieuws komt, eerder dit jaar werd informatie gelekt over de activiteiten, tools en infrastructuur van APT34. In het CSBN 2019 is geschreven over de complexiteit van technische attributie. Dat bij een digitale aanval gebruik  is gemaakt van de infrastructuur en tools van een andere aanvaller voegt een extra complicerende element toe in het juist kunnen attribueren van digitale aanvallen. Deze gezamenlijk naar buiten gebrachte rapportage is uniek en geeft meer inzage in de intenties en capaciteiten die deze digitale aanvallers hebben.

    4. NCSC zet in op het uitfaseren van wachtwoorden

       Het NCSC heeft op de One Conference bekendgemaakt van wachtwoorden af te willen. De FIDO2-standaard die in maart door het World Wide Web Committee is bekrachtigd als open standaard is de opvolger. Bij FIDO2 wordt een public/private-keypaar gebruikt, waarbij de authentiserende partij uitsluitend over de public key hoeft te beschikken om een inloghandeling goed te keuren. Alles wat een sleutelpaar kan aanmaken en vervoeren is geschikt als authenticator, dat kan een fysieke token zijn, maar ook een softwarematige token in een applicatie of besturingssysteem. Omdat er een uniek sleutelpaar per domein wordt aangemaakt werkt het niet op een onbekende website. Dit maakt grootschalige phishingaanvallen nagenoeg onmogelijk. Om tweefactorauthenticatie te ondersteunen kan de authenticator voorzien worden van biometrische sensoren om de private key te ontgrendelen. De authentiserende partij hoeft niet te beschikken over de biometrische gegevens. Ook een viercijferige pincode is mogelijk voor tweefactorauthenticatie. Dat is effectief nog steeds een wachtwoord, maar dan zonder de gebruiksonvriendelijke aspecten zoals complexiteitseisen.

       Wachtwoorden blijken niet altijd een geschikt en veilig middel te zijn voor authenticatie. Wachtwoorddiefstal via datalekken en phishing is aan de orde van de dag en de gebruikersvriendelijkheid zorgt ervoor dat gebruikers vaak niet veilig met wachtwoorden omgaan. Alternatieven voor wachtwoorden zijn door de jaren heen vaker tevergeefs geopperd, maar de FIDO2-standaard heeft goede papieren om daadwerkelijk een succes te worden. Veel grote technologiebedrijven zijn lid van de FIDO-alliantie. Omdat er nog weinig praktijkervaring is met FIDO2 zal het NCSC de komende tijd kennis verzamelen van partijen die ermee experimenteren, en dit verspreiden wanneer dit waardevol is.

25. September 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in september 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Hernieuwde aandacht voor ernstige kwetsbaarheden in Fortigate VPN en Pulse Connect Secure

       In september kregen ernstige beveiligingslekken in zowel Fortigate VPN als Pulse Connect Secure hernieuwde aandacht in de media, omdat bleek dat verschillende Nederlandse organisaties nog steeds kwetsbaar waren. Het NCSC heeft voor beide kwetsbaarheden in augustus een H/H-beveiligingsadvies uitgebracht.   

       Indien uw organisatie nog steeds kwetsbaar is door deze beveiligingslekken, raadt het NCSC aan om verder onderzoek te doen, zoals het controleren van de systeemlogs op afwijkend gedrag. Het NCSC raadt aan patchmanagement goed in te richten als basismaatregel om het beveiligingsniveau te verhogen.

    3. Wees voorbereid op de komst van DNS over TLS en HTTPS binnen uw organisatie

       Versleutelde DNS-transportprotocollen (DoH, DoT) worden populairder om DNS-verkeer te transporteren tussen endpoints en de recursive caching name server (‘resolver’) die geconfigureerd is op de endpoints. Systeem- of netwerkbeheerders en securityprofessionals zijn gewend dat DNS-verkeer onversleuteld over poort 53 (Transmission Controle Protocol en User Datagram Protocol) gaat. Sommige applicatie-ontwikkelaars hebben de functionaliteit voor DNS-resolving direct in hun applicatie ingebouwd. Dit stelt ze in staat om gebruik te maken van de voordelen van nieuwe versleutelde DNS-transporten, zonder dat het besturingssysteem deze ondersteunt. De ontwikkelaar kan dan zelf bepalen welke resolver de applicatie gebruikt. Verschillende ontwikkelaars maken van deze mogelijkheid gebruik. DNS-verzoeken van deze applicaties gaan dus niet meer naar de DNS-resolver die op systeemniveau is ingesteld.

       Nieuwe DNS-transportprotocollen (DoH, DoT) maken het moeilijker om DNS-verzoeken te monitoren of aan te passen. Uw organisatie kan onbewust verantwoordelijkheid voor DNS-resolving aan een derde partij uit handen geven. Dit kan als gevolg hebben dat beveiligingsmaatregelen ineffectief worden, interne naamgeving bloot wordt gesteld of connectiviteit onderbroken wordt. Deze negatieve bijverschijnselen zijn nauwelijks te mitigeren op netwerkniveau. Ze vereisen mitigatie in DNS-infrastructuur en op individuele apparaten.
       Het NCSC raadt organisaties aan om voorkeurs (DNS-)resolvers aan te wijzen, deze te configureren op apparaten onder beheer en kennis te nemen van de beschikbare verbeteringen in moderne DNS-transportmethoden. Meer informatie is beschikbaar in de factsheet 'DNS-monitoring wordt moeilijker'.

    4. Emotet-spamcampagnes weer terug

       Na een pauze van ongeveer drieënhalve maand namen in september verschillende partijen opnieuw spamcampagnes waar die de Emotet-malware verspreiden. Emotet is populaire malware (zie ook de maandmonitor van mei jl.) die vaak wordt ingezet om op een later tijdstip aanvullende malware naar geïnfecteerde systemen te sturen. In de meeste gevallen wordt Emotet als opstap gebruikt om Trickbot te installeren. Trickbot is een malwarefamilie die middels losse modules extra functionaliteiten in kan zetten, zoals het stelen van wachtwoorden, Man-in-the-Browser (MitB) aanvallen uit kan voeren of een VNC-server kan starten op het geïnfecteerde systeem. Emotet verspreidt zich onder andere door op geïnfecteerde systemen bestaande e-mails te beantwoorden (met een malafide doc-bestand als attachment), omdat de ontvanger op deze manier minder snel argwaan zal krijgen. De combinatie van Emotet en Trickbot wordt door onderzoekers gezien als opstap naar gerichte ransomware-aanvallen. Eerder waarschuwde NCSC-UK ervoor dat onder andere de Emotet-malware is aangetroffen op netwerken waar gerichte ransomwarecampagnes werden uitgevoerd. Ook het NCSC heeft extra aandacht voor dit soort generieke malware.

       Verschillende partijen nemen een flinke toename van Emotet-malware weer. Door de mogelijke inzet van deze malware voor gerichte ransomware-infecties is de dreiging die van deze generieke malware uitgaat groot. Gerichte ransomware kan grote schade veroorzaken binnen organisaties.

26. Augustus 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in augustus 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Kwetsbaarheden en de leveranciersketen

       In augustus zijn een flink aantal kwetsbaarheden bij verschillende leveranciers geconstateerd. De meest kritieke waren de URGENT/11 kwetsbaarheden in VxWorks. VxWorks, een real-time besturingssysteem, wordt gebruikt voor onder andere gebouwbeheersing, avionica, telecom en industriële controlesystemen (ICS). Door een of meerdere van deze kwetsbaarheden te misbruiken, kan een kwaadwillende zonder een gebruikersnaam, wachtwoord en zelfs zonder dat een netwerkdienst op het systeem draait, code uitvoeren op het systeem van het slachtoffer.

       Het NCSC heeft deze kwetsbaarheid ingeschaald als een high-high kwetsbaarheid en een beveiligingsadvies geschreven. Inmiddels zijn voor afnemers van VxWorks patches uitgegeven. Bij kwetsbaarheden die toegang op afstand mogelijk maken, kunnen organisaties via geïnstalleerde software kwetsbaar zijn zonder dat zij hier weet van hebben. Met name statelijke en criminele actoren maken misbruik van deze kwetsbaarheden. Het NCSC adviseert organisaties om intern vast te leggen welke kritieke systemen en softwareversies in gebruik zijn.

    3. Opnieuw ernstige kwetsbaarheden in Microsoft Windows Remote Desktop

       In augustus werd een kwetsbaarheid in de Remote Desktop Services van een aantal versies van Microsoft Windows bekend gemaakt.  Misbruik van deze kwetsbaarheid maakt het voor een aanvaller mogelijk om op afstand het systeem over te nemen, zonder  dat daarvoor  een gebruikersnaam of wachtwoord nodig is. In de maandmonitor van mei 2019 waarschuwde het NCSC al voor een kwetsbaarheid in het Microsoft Remote Desktop Protocol (RDP) die bekend staat als ‘BlueKeep’. RDP is het protocol dat wordt gebruikt door Remote Desktop Services. De kwetsbaarheden die deze maand bekend werden gemaakt zijn vergelijkbare, maar nieuwe kwetsbaarheden. Ook voor deze nieuwe kwetsbaarheden heeft het NCSC via de website (naast het beveiligingsadvies) opnieuw een waarschuwing uitgebracht.

       Dergelijke kwetsbaarheden hebben de potentie om grootschalig te worden misbruikt, zo blijkt uit het verleden. Het NCSC verwacht dat deze kwetsbaarheid op zeer korte termijn zal worden misbruikt door aanvallers en benadrukt daarom dat het belangrijk is om deze update direct uit te voeren. Remote Desktop Services wordt gebruikt om computers op afstand te kunnen beheren. Het NCSC adviseert om beheerapplicaties niet direct via internet beschikbaar te stellen. Zie voor meer beveiligingsmaatregelen het eerdere advies van het NCSC met beveiligingsmaatregelen voor RDP.

    4. Veranderende maatregelen rondom certificaten

       Google Chrome en Mozilla Firefox stoppen binnenkort met het weergeven van Extended Validation (EV-) certificaten in de adresbalk. Bij dit type certificaat wordt de naam van de organisatie die het certificaat heeft aangevraagd, weergegeven in de adresbalk. In de financiële sector bijvoorbeeld worden EV-certificaten geregeld gebruikt. Volgens de browserleveranciers biedt de weergave van EV-certificaten niet de beoogde bescherming. De EV-certificaten moeten gebruikers meer zekerheid geven over de eigenaar van bezochte websites. Het doel van de oude weergave was om gebruikers veiligere keuzes te laten maken, zoals het invoeren van wachtwoorden of creditcardinformatie. Echter, in de praktijk bleek de oude gebruikersinterface niet te leiden tot veiligere keuzes.

       Op het gebied van Transport Layer Security (TLS)-certificaten gaat mogelijk ook iets veranderen. Dit veelgebruikte type certificaat heeft op dit moment een levensduur van twee jaar en drie maanden. Google wil de levensduur van de certificaten mogelijk verkorten naar dertien maanden. Dit voorstel werd door Google gepresenteerd op een bijeenkomst van het CA/Browser Forum. Het verkorten van de levensduur van TLS-certificaten zou tot allerlei veiligheidsvoordelen moeten leiden, aldus Google. Een van deze voordelen is dat wanneer er een probleem is met het uitgeven van certificaten, deze sneller zullen verlopen dan dat dit nu het geval is.

       Gebruikers kunnen bij een bezoek aan bepaalde websites een verandering zien in de weergave in de adresbalk, bijvoorbeeld op de website van hun bank, als gevolg van het niet meer weergeven van de EV-certificaten door Google Chrome en Mozilla Firefox.

       Het inkorten van de levensduur van TLS-certificaten heeft twee voordelen. De kortere levensduur dwingt organisaties eens per jaar de certificaten te verlengen, dit sluit aan bij de jaarlijkse cyclus die veel bedrijven hanteren. Anderzijds kunnen nieuwe veiligheidsmaatregelen en standaarden sneller worden doorgevoerd, omdat de certificaten die niet voldoen na uiterlijk 13 maanden worden uitgefaseerd. Mocht dit voorstel uitgevoerd worden, dan zal de kortere levensduur alleen gaan gelden voor nieuwe certificaten. Het NCSC heeft eerder dit jaar ICT-beveiligingsrichtlijnen voor TLS geschreven. Daarnaast is ook een factsheet gepubliceerd over digitale certificaten.

27. Juli 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in juli 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Nieuwe DNS-hijacking campagnes

       Deze maand publiceerde beveiligingsbedrijf Cisco Talos een artikel over nieuwe ontwikkelingen op het gebied van DNS-hijacking, die zij in een aanvalscampagne hebben waargenomen. Bij DNS-hijacking wijzigen aanvallers de DNS-instellingen van een organisatie. Door met gestolen inloggegevens op het klantportaal van een DNS-aanbieder in te loggen kunnen aanvallers DNS-instellingen wijzigen. Als een kwaadwillende de DNS-instellingen van een organisatie kan wijzigen, kan hij inkomend netwerkverkeer van deze organisatie tijdelijk omleiden.

       Opvallend in de beschreven ontwikkelingen door Cisco Talos, is een campagne die voor elk slachtoffer een nieuw IP-adres gebruikt. Hierdoor wordt het detecteren bemoeilijkt. De actor Sea Turtle wordt door Cisco Talos verantwoordelijk gehouden voor de DNS-hijacking-campagne. De getroffen organisaties bevinden zich zowel in de publieke als de private sector. Eén van de slachtoffers is verantwoordelijk voor het topleveldomein van Griekenland (ccTLD ), in dit geval .gr. Cisco Talos vermoedt dat door deze aanval toegang is verkregen en dat deze is ingezet bij een drietal DNS-hijacks bij Griekse overheidsorganisaties. NCSC-UK publiceerde deze maand een advies naar aanleiding van recente DNS-hijacking-campagnes.

       Commentaar NCSC:

       DNS-hijacking wordt vaak niet gedetecteerd. Diverse adviezen zijn begin dit jaar uitgebracht onder andere door het Amerikaanse Department of Homeland Security (DHS). Het NCSC adviseert te monitoren op ongeautoriseerde wijziging van uw DNS-instellingen en preventieve maatregelen te treffen:
       1. Controleer regelmatig of domeinnamen inderdaad naar de ip-adressen van de juiste infrastructuur verwijzen.
       2. Controleer regelmatig de Certificate Transparency-logs om na te gaan of er certificaten uitgegeven zijn voor domeinnamen van de organisatie, die niet door de organisatie zelf zijn aangevraagd.
       3. Maak gebruik van tweefactorauthenticatie op accounts bij DNS-beheerders, domain registrars en andere systemen die gebruikt worden voor beheer van DNS-instellingen.
       4. Wijzig inloggegevens waarvan wordt vermoed dat deze zijn gecompromitteerd.

    3. Kwetsbaarheden in Zoom-applicatie voor Mac

       Begin deze maand zijn twee kwetsbaarheden in de Zoom-applicatie voor Mac openbaargemaakt. Zoom wordt onder andere gebruikt voor het organiseren van virtuele bijeenkomsten. De kwetsbaarheden maken het mogelijk voor kwaadwillenden om mee te kijken via de webcam van slachtoffers en een Denial-of-Service (DoS) te veroorzaken. Als gebruikers Zoom installeren op een Mac wordt er een lokale server geactiveerd. Via de lokale server kunnen nieuwe Zoom-gebruikers aan een videogesprek worden toegevoegd. Door het bezoeken van een malafide website, na het installeren van de lokale server, kan een kwaadwillende de webcam gebruiken zonder expliciete toestemming van de gebruiker. De webcam activatie is nog steeds mogelijk, zelfs als de Zoom-client-app is verwijderd vanwege de lokale server die nog op de computer blijft staan.

       Commentaar NCSC:

       Het NCSC raadt aan om de Zoom-applicatie op Mac-apparaten te updaten en de instellingen in Zoom te wijzigen, mocht dit nog niet gebeurd zijn na de update van Apple op 10 juli. Deze update schakelt de lokale webserver van de Zoom-applicatie uit. Wanneer uw organisatie besluit om de app volledig te verwijderen, raadt het NCSC aan om deze eerst te updaten en daarna pas te verwijderen. Na de update is de menukeuze “Uninstall Zoom” toegevoegd en kan de app worden verwijderd inclusief de opgeslagen gebruikersinstellingen. Organisaties die verwachten Zoom te gebruiken in de toekomst, raadt het NCSC aan om de optie “Turn off my video when joining a meeting” aan te zetten bij het eerste gebruik. Dan kan een kwaadwillende de webcambeelden niet meer zien.

    4. Risicovolle apps op mobiele telefoons

       Apps en appstores kunnen een aantrekkelijk doelwit zijn voor kwaadwillenden. Zo verscheen er deze maand het bericht over malafide apps, die 25 miljoen Android-apparaten hadden geïnfecteerd met de ‘Agent Smith’-malware. Deze malware kon populaire apps, zoals Whatsapp, op de telefoon kopiëren. Vervolgens wordt de originele app vervangen door de kwaadaardige code te injecteren. Met alle autorisaties die gebruikers aan de echte apps hadden verleend, kon ‘Agent Smith’ andere apps op de telefoon kapen om ongewenste advertenties te presenteren aan gebruikers.

       Een andere aanvalstechniek, is het versturen van een bericht via WhatsApp of Telegram waarin links staan naar malafide apps. Zo is recent spywarecampagne ‘ViceLeaker’ ontdekt. De spyware verspreidt zich met name in het Midden-Oosten om apparaat- en communicatiegegevens van Android-gebruikers te stelen.

       De fotobewerkingsapplicatie ‘FaceApp’ heeft er deze maand miljoenen gebruikers bij gekregen, die soms meedoen aan de ‘#FaceApp challenge’. In FaceApp kan iemand een foto van zichzelf bewerken met een ouderdomsfilter. Op de achtergrond slaat FaceApp onder meer ip-adressen en foto’s van de gebruiker op. Daarom waarschuwen security-experts voor de privacy-risico's van deze populaire app.

       Commentaar NCSC:

       Het NCSC heeft diverse adviezen gepubliceerd over het gebruik van apps, mobiele appraten en berichtenapp. Daarin wordt onder andere geadviseerd om de rechten van geïnstalleerde apps tot een absoluut minimum te beperken. Hoe meer bevoegdheden een app heeft, hoe groter de kans op misbruik van eventuele kwetsbaarheden. Oudere versies van apps kunnen kwetsbaarheden bevatten die bij aanvallers bekend zijn. Het up-to-date houden en beheren van een app zijn belangrijke voorwaarden voor beveiligen van de app. Maak als organisatie altijd een risicoafweging waarbij de beveiligings- en gebruikerseisen voor een app in acht worden genomen. Denk bijvoorbeeld na over het inrichten van lifecyclemanagement voor apps. Tot slot adviseert het NCSC om apps alleen uit de officiële appstores te installeren. En updates alleen via de software-updatefunctie van de telefoon uit te voeren.

28. Juni 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in juni 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Storingen in vitale processen hebben grote impact

       Storing en uitval van (informatie)systemen blijven een grote dreiging vormen. Dat de impact van storingen in vitale processen groot kan zijn, is in juni in binnen- en buitenland gebleken. Een grote storing in het elektriciteitsnet zorgde ervoor dat de stroom in heel Uruguay en Argentinië en delen van Paraguay en Brazilië uitviel. Tientallen miljoenen huishoudens en bedrijven zaten uren zonder elektriciteit. Op veel plekken kwam geen water uit de kraan, mobiele netwerken lagen plat, treinen stonden stil en de verkeerslichten en straatverlichting werkten niet meer. In Nederland leidde een landelijke storing in het mobiele en het vaste netwerk van KPN ertoe dat bedrijven, gemeenten, ziekenhuizen en particulieren urenlang onbereikbaar waren. Ook het alarmnummer 112 werd door de storing getroffen.

       Commentaar NCSC:

       Hoewel bij storingen en uitval geen sprake is van opzet of intentie, kunnen ze vanwege de grote potentiële impact een belangrijke dreiging vormen. Op een centraal informatieknooppunt of bij vitale processen, kunnen storing en uitval leiden tot maatschappelijke ontwrichting en schade. Zeker wanneer er onvoldoende basiscybersecuritymaatregelen getroffen worden en achterliggende systemen om uitval op te vangen ontbreken. De oorzaak van de grootschalige stroomuitval in Zuid-Amerika wordt nog onderzocht. De schade bleef beperkt, ziekenhuizen en vliegvelden konden dankzij noodgeneratoren normaal functioneren. De storing vond plaats op een zondag, het is aannemelijk dat de impact aanzienlijk groter zou zijn wanneer deze op een doordeweekse dag had plaatsgevonden. De oorzaak van de KPN-storing wordt ook nog onderzocht, vermoedelijk had het te maken met een verkeerde routering van telefoonverkeer. Het alarmnummer 112 is voor de Nederlandse samenleving een vitale dienst die altijd bereikbaar moet zijn. De drie back-upnetwerken die er bij een storing voor moeten zorgen dat 112 toch bereikbaar blijft, lieten het bij de storing echter ook afweten.

    3. Nederland wil veiligheidseisen Internet of Things-apparaten in 2020

       Op initiatief van Nederland wordt momenteel in EU-verband gekeken naar de invulling van minimale digitale veiligheidseisen voor Internet of Things (IoT)-apparaten. De regering wil dat deze eisen in 2020 voor de hele Europese Unie van kracht worden. Ook gaat de Nederlandse overheid cybersecuritycriteria opnemen in haar inkoopbeleid om aanbieders te prikkelen om digitaal veilige producten en diensten op de markt te brengen. Deze ontwikkeling maakt deel uit van de doelstellingen in de roadmap ‘Digitaal Veilige Hard- en Software’ van het ministerie van Economische Zaken. Daarnaast gaan onderzoekers van de TU Delft metingen doen naar onveilige en gehackte IoT-apparaten in Nederland door bijvoorbeeld netwerken van besmette apparaten, zogenoemde botnets, in kaart te brengen. Tot slot komt er in november een IoT-veiligheidscampagne. Apparaten die verbonden zijn met het internet, zoals zelfrijdende auto’s en intelligente thermostaten, vormen immers een steeds grotere bedreiging voor onze privacy en veiligheid. De campagne is een vervolg op de anti-phishingcampagne ‘Eerst checken, dan klikken’ die eind mei werd gelanceerd.

       Commentaar NCSC:

       Uit het Cybersecuritybeeld Nederland 2019 blijkt dat het aantal gemelde kwetsbaarheden in hard- en software in 2017 en 2018 sterk is toegenomen. IoT is een netwerk van slimme apparaten, sensoren en andere objecten die (vaak verbonden met het internet) gegevens verzamelen over hun omgeving, deze kunnen uitwisselen en op basis daarvan (semi-) autonome beslissingen of acties nemen die van invloed zijn op hun omgeving. Veel organisaties zijn zich niet bewust van het grote aantal IoT-apparaten dat ze al gebruiken en de beveiligings- en privacyrisico’s die hiermee samenhangen. Agentschap Telecom luidde in 2017 de noodklok over het toenemend aantal onveilige IoT-apparaten dat aan het internet wordt gekoppeld.  Het agentschap drong aan op aanvullende regels en een snelle invoer van minimumeisen. Nederland heeft in de Europese Unie nu het initiatief daarvoor genomen.

29. Mei 2019

    1. Hieronder staan de belangrijkste openbare ontwikkelingen die zich in mei 2019 hebben voorgedaan op het gebied van cybersecurity.

    2. Emotet-malware onverminderd populair

       Emotet is malware die vooral door criminelen wordt gebruikt (crimeware). Beveiligingsbedrijf Proofpoint schrijft in het eerste kwartaalrapport 2019, dat blijkt dat 61% van de kwaadwillende payloads in e-mails te wijten is aan Emotet. Emotet fungeert vooral als downloader of dropper van andere malware. Na het openen van bijvoorbeeld een malafide e-mailbijlage of -link kan Emotet zich door het netwerk verspreiden. De aanvallers kunnen dan op afstand de malware opdracht geven om bijvoorbeeld ransomware te installeren. Emotet wordt ingezet om zoveel mogelijk financieel gewin te behalen.

       Commentaar NCSC:

       In april 2019 waarschuwde het Duitse CERT-Bund voor de verspreiding van de Emotet-malware per e-mail. Daarvoor werd gebruik gemaakt van een nieuwe module waarmee wordt meegelift op eerdere e-mailconversaties van het slachtoffer. Het onderwerp begint met “Re: RE” gevolgd door het onderwerp van de eerder verzonden mails. De inhoud van het oorspronkelijke bericht wordt aan de kwaadaardige e-mail toegevoegd, aangevuld met tekst en een link die naar de malware verwijst.

       Er zijn in april ook nieuwe versies van Emotet-malware gesignaleerd , die ander netwerkverkeer laten zien om zo detectie te omzeilen. Deze versies maken het nog lastiger om de malware te detecteren en bemoeilijkt verder onderzoek zodra de malware is gedetecteerd.

    3. RDP-kwetsbaarheid kan worden misbruikt voor internetworm

       Met de maandelijkse patch-ronde van Microsoft werd in mei een kwetsbaarheid in Remote Desktop Protocol (RDP) verholpen. Het NCSC gaf deze kwetsbaarheid extra aandacht, omdat deze onder andere kan worden misbruikt voor een internetworm. Met internetworm wordt een zichzelf vermenigvuldigend computerprogramma bedoeld. RDP wordt gebruikt om computers op afstand te kunnen beheren. De kwetsbaarheid in het RDP maakt het voor een aanvaller mogelijk om op afstand code uit te voeren zonder inloggegevens (authenticatie).

       Commentaar NCSC:

       Ervaring leert dat deze kwetsbaarheden de potentie hebben om in zeer kort tijdsbestek grootschalig te worden misbruikt. Dit fenomeen werd waargenomen bijvoorbeeld tijdens de uitbraak van de ransomware WannaCry. Reden voor Microsoft om meerdere waarschuwingen te geven. En voor het NCSC om extra aandacht aan deze kwetsbaarheid te geven. Het beveiligingsadvies werd op high/high ingeschaald. Het advies aan de gebruikers is om de patches zo snel mogelijk door te voeren.

    4. Zero-day in WhatsApp legt probleem van schaduw-IT bloot

       Op 13 mei waarschuwde moederbedrijf Facebook voor een kwetsbaarheid in WhatsApp op alle ondersteunende besturingssystemen. De kwetsbaarheid werd actief misbruikt met gerichte aanvallen op een beperkt aantal doelwitten. Daarbij werd malware geïnstalleerd die kwaadwillenden in staat stelden met alle WhatsApp-gesprekken mee te luisteren. De aanval was mogelijk door een fout in de belfunctie, die misbruikt kon worden door slechts te bellen naar het beoogde slachtoffer. De oproep hoefde niet beantwoord te worden om het apparaat van het slachtoffer te besmetten.

       Commentaar NCSC:

       Misbruik van zero-day-kwetsbaarheden is bij uitstek geschikt voor gerichte aanvallen. De ontwikkelaar van de software is zich op een zero-day nog niet bewust van het beveiligingslek. De ontwikkelaar heeft dus nog geen kans gezien om een patch voor de software te verspreiden onder de gebruikers.

       Het NCSC heeft geen signalen ontvangen dat er in Nederland misbruik is gemaakt van deze kwetsbaarheid. Toch ontstonden er na bekendmaking zorgen over het ongemerkt kunnen ‘binnensluipen’ van berichtenapps voor zakelijke communicatie zoals WhatsApp, die in organisaties worden gebruikt. Wanneer gebruik van berichtenapps niet onder het beheer van de organisatie valt, ligt de verantwoordelijkheid om de kwetsbaarheid te patchen bij de individuele gebruiker. Dat vormt een aanzienlijk risico voor de vertrouwelijkheid van zakelijk berichtenverkeer.
       Het NCSC adviseert organisaties om te kiezen voor een berichtenapp die binnen het organisatiebeleid te beheren en te beveiligen is.

    5. Kwetsbaarheden in Intel-processoren bekend gemaakt

       Onderzoekers van de Vrije Universiteit hebben kwetsbaarheden gevonden in een groot aantal Intel-processoren. Deze kwetsbaarheden hebben de namen ZombieLoad, RIDL en Fallout gekregen. Misbruik van deze kwetsbaarheden maakt het mogelijk om code uit te voeren op de computer van een slachtoffer en vertrouwelijke informatie te achterhalen. Zelfs als het slachtoffer mitigerende maatregelen getroffen had zoals virtual machines en sandboxing, kon de aanvaller de kwetsbaarheden misbruiken.

       Commentaar NCSC:

       Het detecteren van misbruik van kwetsbaarheden is moeilijk. Voor zover bekend worden deze kwetsbaarheden nog niet actief misbruikt. De verwachting is echter dat de kans op misbruik toeneemt nu de kwetsbaarheden bekend zijn gemaakt. Het misbruiken van ZombieLoad, RIDL en Fallout vergt wel geavanceerde kennis en ervaring. Inmiddels zijn er mitigerende updates uitgebracht door Intel waardoor na het updaten van systemen de kwetsbaarheden zijn verholpen.