Niks meer missen?
Schrijf je in voor onze nieuwsbrief!
Foto: Brett Sayles (Pexels)
actueel

Uitzetten alle UvA-systemen was ‘reële optie’ tijdens cyberaanval

Henk Strikkers,
7 juli 2021 - 15:00

Een student die malware op zijn laptop installeerde zette eerder dit jaar de deur open voor een cyberaanval op de UvA en HvA. Hoewel de universiteit direct besloot terug te vechten, hield men dagenlang rekening met het scenario dat ‘alle schermen op zwart’ zouden gaan.

Dat blijkt uit een rapport dat het COT Instituut voor Veiligheids- en Crisismanagement heeft gemaakt over de cyberaanval eerder dit jaar. De onderzoekers acterhaalden dat de aanval kon beginnen doordat een student van UvA of HvA op 11 februari een trojan horseDat is malware die zich voordoet als een ander bestand, maar is gericht op het overnemen van de computer. installeert op zijn laptop. Door die malware krijgt een aanvaller toegang tot de inloggegevens van de student.

 

62 servers en 10 beheeraccounts geïnfecteerd

Twee aanvallers verkennen daarmee de systemen van de universiteit en hogeschool en krijgen vervolgens door middel van een password spraying attack Een password spraying attack is een aanval waarbij iemand een voorspelbaar wachtwoord (bijvoorbeeld welkom01) gebruikt bij heel veel accounts. Dat doet hij heel vaak achter elkaar met verschillende wachtwoorden. toegang tot een beheeraccount. Vervolgens verspreiden de aanvallers zich door het systeem en weten ze onder meer 62 servers te infecteren en tien beheeraccounts binnen te dringen. Dat doen ze allemaal in de nacht van vrijdag 12 op zaterdag 13 februari.

 

‘Pas’ op maandagochtend 15 februari komen medewerkers van de ICT-afdeling daarachter. Daar wordt volgens het rapport goed opgetreden: er wordt snel alarm geslagen, wachtwoorden worden gewijzigd en enkele gecompromitteerde beheeraccounts worden geblokkeerd. Bovendien worden enkele geïnfecteerde servers uitgezet. ‘De aanvallers hebben na de genomen eerste maatregelen door de HvA en UvA geen verdere actie ondernomen,’ schrijft COT in het rapport.

 

Database met inloggegevens

Een van de aanvallers heeft tegen die tijd echter al een kopie van de zogenoemde Active Directory-domeindatabase gemaakt, zo blijkt enkele dagen later. Daarin staan onder meer inloggegevens als gebruikersnamen, wachtwoordhashesEen wachtwoordhash is een ge-encrypt wachtwoord. Enkel met de encryptiesleutel kunnen aanvallers de wachtwoorden ontgrendelen., telefoonnummers en e-mailadressen. Het is daarom de inschatting van cyberbeveiligingsbedrijf Fox-IT, dat de UvA tijdens de aanval helpt, dat ‘de aanvallers mogelijk hun aandacht hebben gericht op een ander slachtoffer om mogelijk later terug te keren naar de HvA/UvA’.

 

Daardoor blijven universiteit en hogeschool weken in crisisstand. Op 23 februari, tien dagen na de eerste aanval op de universiteit, worden alle medewerkers en studenten gemaild: ze moeten hun wachtwoord wijzigen, anders wordt hun account geblokkeerd. Het gaat om 177.000 wachtwoorden in totaal. Vervolgens worden alle geblokkeerde servers uitgebreid onderzocht en vervolgens weer online gezet.

 

Intussen meldt Microsoft precies in die week dat er een zwakte zit in Exchange, het mailsysteem dat ook UvA en HvA gebruiken. Het mailprogramma moet een update krijgen, wat een grote extra belasting betekent voor de ICT-medewerkers. Op 10 maart geeft de universiteit desalniettemin het sein ‘brand meester’ af en zeven dagen later werken alle servers weer.

Uit het rapport blijkt dat de crisisorganisatie van de UvA en HvA goed functioneerde vanwege effectieve samenwerking, onderling vertrouwen en deskundigheid van het personeel

Goede crisisorganisatie

Het volledig uitschakelen van alle systemen bleek achteraf niet nodig, omdat de UvA en HvA – die vrijwel alle ICT-systemen delen – snel en succesvol terugvochten tegen de aanvallers. Uit het rapport blijkt dat de crisisorganisatie van de UvA en HvA goed functioneerde vanwege effectieve samenwerking, onderling vertrouwen en deskundigheid van het personeel.

 

Toch adviseert het COT dat de UvA meer moet doen aan cyberveiligheid. Zo zouden er hogere eisen gesteld moeten worden aan wachtwoorden, zou er tweefactor-authenticatie moeten worden ingevoerd en zou er meer moeten worden geïnvesteerd in opsporing van ongebruikelijkheden. De universiteit zegt dit mee te nemen in het ‘Verbeterplan Informatiebeveiliging’.