De hack bij de Technische Universiteit Eindhoven van half januari kon plaatvinden omdat de aanvallers beschikten over de gestolen inloggegevens van in elk geval één medewerker en één student. Daarmee konden zij via verschillende accounts inloggen op het Windows-domein van de universiteit.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Dat vertellen ingewijden aan de Volkskrant. Toen de hackers eenmaal binnen waren, werden hun activiteiten op de computerservers vrij vlot opgemerkt. Daarop heeft de universiteit in de nacht van zaterdag op zondag 12 januari het netwerk offline gehaald en was er geen onderwijs meer mogelijk.
De exacte toedracht van de aanval wordt nog onderzocht, in samenwerking met cyberbeveiligingsbedrijf Fox-IT. De universiteit heeft informatie over de hack gedeeld met andere onderwijsinstellingen. Mede naar aanleiding daarvan heeft de Radboud Universiteit Nijmegen versneld maatregelen genomen om het inloggen te beveiligen met extra authenticatie.
Van accounts die bij de hack in Eindhoven werden misbruikt, zijn later volgens bronnen de inloggegevens teruggevonden in criminele data, zoals de loggegevens van bekende ‘infostelers’. Dat is malware die momenteel een van de grootste digitale dreigingen is. Infostelers zoeken op de computers van slachtoffers naar wachtwoorden, cookies, mails en financiële informatie. Feitelijk stelen ze de digitale identiteit van een slachtoffer. De data die de hackers op deze manier buitmaken, zogeheten loggegevens, verkopen zij weer aan afnemers, bijvoorbeeld via het zogeheten darkweb.
In die logbestanden kunnen allerlei interessante data zitten, zoals de gebruikersnamen en wachtwoorden van medewerkers van een universiteit. Het is niet bekend hoe de aanvallers aan die gegevens kwamen en of ze een criminele intentie hadden. Ook is onbekend of ze op zoek waren naar bijvoorbeeld wetenschappelijke data of ander intellectueel eigendom.
De hack bij de TU Eindhoven doet sterk denken aan een eerdere digitale aanval bij de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA), in februari 2021. Ook toen gebruikten de aanvallers gestolen inloggegevens om toegang te krijgen tot het netwerk van de onderwijsinstellingen. De gegevens waren buitgemaakt middels een infosteler op de laptop van een student, die de malware nietsvermoedend had gedownload en zo de hack mogelijk maakte.
Anders dan bij de TU Eindhoven konden de aanvallers in Amsterdam langere tijd ongestoord op het netwerk blijven, bleek later uit een rapport van het Instituut voor Veiligheids- en Crisismanagement (COT). De hack had veel grotere implicaties dan destijds bekend werd: liefst 62 systemen bleken gecompromitteerd en vele daarvan werden voorzien van een achterdeur.
Ook waren tien beheeraccounts overgenomen, wat betekent dat de hackers praktisch vrij spel hadden. Ook hadden ze waarschijnlijk de Active Directory-domeindatabase, cruciaal voor het beheren van grote netwerken, gedownload.
In zijn rapport over de crisisafhandeling bij de Universiteit en Hogeschool van Amsterdam benoemt het COT de openheid van universiteiten, met vele tienduizenden aangesloten gebruikers, als specifiek dreigingsrisico. ‘Het profiel van hoger onderwijsinstellingen als grote, open organisaties die veel kennis beheren, maakt hen een geliefd doelwit voor cybercriminelen en mogelijk statelijke actoren (spionage, red.).’
Bij dit soort opportunistische aanvallen op grote instellingen is het vaak ingewikkeld om de daders te achterhalen. Zo stelde Fox-IT na uitvoerig onderzoek bij de Amsterdamse geen zekerheid te hebben over wie verantwoordelijk was voor de hack.
Dit kwam mede doordat de eerste stappen van de hackers sterk leken op de voorbereidingshandelingen voor het inzetten van gijzelsoftware, malware die uiteindelijk nooit geïnstalleerd werd. Volgens bronnen van de Volkskrant was er op basis van het gedrag van de hackers bij de Amsterdamse instellingen echter geen twijfel over hun herkomst: die kwamen uit Rusland.
De systemen bij de TU Eindhoven werken sinds zondag 19 januari weer als normaal. Het onderwijs is een dag later hervat. De universiteit wil voorlopig nog niets zeggen over de mogelijke toedracht of daders. ‘We zullen onze inzichten bekendmaken wanneer de onderzoeken zijn afgerond en willen daar niet op vooruit lopen’, aldus een woordvoerder.
Geselecteerd door de redactie
Source: Volkskrant