Fox-IT geraakt door cyberaanval

Lessons learned uit een Man-in-the-Middle-aanval

Fox-IT geraakt door cyberaanval

Geüpdatet op 16 december 2017

Het is een algemeen geaccepteerd uitgangspunt: het is niet langer de vraag of je met een incident te maken krijgt, maar wanneer. Of werd voor Fox-IT wanneer op dinsdag 19 september 2017, toen we geraakt zijn door een Man-in-the-Middle-aanval. Het incident is beperkt gebleven als gevolg van een gelaagde beveiliging en een combinatie van preventie-, detectie- en respons-maatregelen.  Maar het heeft ons, als cybersecurity-speler, met de neus op de feiten gedrukt. We delen nu informatie over dit incident, omdat we er zeker van zijn dat we voldoende duidelijkheid hebben over de details. Het politieonderzoek loopt echter nog. Uiteindelijk geloven wij dat transparantie in zaken als deze meer vertrouwen geeft dan geheimzinnigheid en we delen graag de lessen die we getrokken hebben uit dit incident. Zowel positieve als negatieve.

Wat is er gebeurd?

Op 19 september 2017 vroeg in de ochtend heeft een aanvaller toegang verkregen tot de DNS-records voor het domein Fox-IT.com bij een derde partij, onze domain registrar. De aanvaller heeft in eerste instantie het DNS-record voor een specifieke server aangepast en dit laten wijzen naar een server waar de aanvaller zelf de controle over had. Dit met als doel om zo het netwerkverkeer te onderscheppen en daarna door te sturen naar de oorspronkelijke server die aan Fox-IT toebehoort. Dit type aanval heet een “Man-in-the-Middle-aanval” (MitM). De aanval was specifiek gericht op ClientPortal, onze webapplicatie die we gebruiken om op veilige wijze bestanden uit te wisselen met klanten, leveranciers en andere organisaties. We gaan er van uit dat het doel van de aanvaller was om gedurende langere tijd een MitM-aanval uit te voeren.

We hebben het incident snel gedetecteerd en ondernamen actie, waarmee we de effectieve duur van de MitM konden beperken tot 10 uur en 24 minuten. Dat is kort, gezien het feit dat de meeste incidenten pas na weken worden ontdekt. Toch hebben we niet kunnen voorkomen dat de aanvaller een klein aantal bestanden heeft kunnen onderscheppen, waartoe  hij geen toegang had mogen hebben. Als belangrijke eerste stap in ons responsproces hebben we contact opgenomen met de politie en met hen relevante informatie gedeeld zodat ook zij een onderzoek konden starten.

Het incident is als volgt verlopen (alle tijden zijn lokale Nederlandse tijden)

16/09 2017 De eerste verkenningsactiviteiten op onze infrastructuur, waarvan we nu denken dat die door de aanvaller zijn uitgevoerd. Dit betreft onder andere gewone port scans, scans naar kwetsbaarheden en andere scan-activiteiten.
19/09 00:38 De aanvaller verandert DNS-records voor het fox-it.com domein bij een derde partij, de registrar.
19/09 02:02 Dit is het laatste moment waarvan we hebben kunnen vaststellen dat clientportal.fox-it.com nog naar de onze legitieme ClientPortal server verwees. Dit betekent dat verkeer dat bestemd was voor ClientPortal nog niet onderschept werd.
19/09 02:05-02:15 Het tijdvak van maximaal 10 minuten waarin de aanvaller tijdelijk e-mail bestemd voor Fox-IT heeft onderschept en omgeleid. Het specifieke doel hiervan was om te kunnen bewijzen dat de aanvaller de eigenaar was van ons domein tijdens de registratie van een frauduleus SSL-certificaat voor onze ClientPortal.
19/09 02:21 De daadwerkelijke MitM-aanval tegen onze ClientPortal start. Op dit moment is het frauduleuze SSL-certificaat voor ClientPortal in gebruik en is het DNS-record voor clientportal.fox-it.com gewijzigd en verwijst het naar een VPS-provider in het buitenland.
19/09 07:25 We stellen vast dat de name servers voor het fox-it.com domein zijn aangepast en dat het om een ongeautoriseerde wijziging gaat. We veranderen de DNS-instellingen terug naar onze eigen name servers en veranderen het wachtwoord voor het account bij onze domain registrar. Er zal tijd overheen gaan voordat deze wijziging volledig effectief is, vanwege caching en feit dat het DNS-systeem een gedistribueerd systeem is.
19/09 12:45 We zetten SMS uit, de tweestapsverificatie voor inloggen op de ClientPortal. Hiermee voorkomen we dat gebruikers van ClientPortal kunnen in loggen en dat hun verkeer wordt onderschept. Verder laten we ClientPortal gewoon door draaien om de aanvaller niet te laten merken dat wij van de aanval weten, en om onszelf meer tijd te geven voor onderzoek. Op dit moment is de MitM tegen ClientPortal technisch gezien nog actief, maar er wordt geen verkeer meer ontvangen om te onderscheppen, omdat gebruikers niet meer in kunnen loggen.
19/09 – 20/09 We voeren een volledig onderzoek uit naar het incident, inclusief het inlichten van de partijen waarvan bestanden waren onderschept en het inlichten van andere relevante partijen, waaronder de Autoriteit Persoonsgegevens. Een politieonderzoek wordt gestart, dat nog steeds loopt. Op basis van de uitkomst van ons onderzoek hebben we inzicht in de omvang van het incident, weten we dat de aanval volledig is gestopt en zijn we er klaar voor om SMS, de tweede factor voor inloggen op ClientPortal, weer aan te zetten en daarmee ClientPortal weer volledig operationeel te maken.
20/09 15:38 ClientPortal is weer volledig operationeel. Ons interne onderzoek naar het incident loopt door.

Wat voor informatie heeft de aanvaller onderschept?

Zoals beschreven was de aanvaller in staat om gedurende een korte tijd binnenkomend verkeer naar ClientPortal en e-mails naar het fox-it.com domein om te leiden. Op geen enkel moment heeft de aanvaller toegang gehad tot enig extern of intern systeem van Fox-IT, of systeemtoegang op ClientPortal.

Tijdens het onderzoek naar het incident hebben we uitgebreid gebruik gemaakt van onze eigen technologie. Voor al het verkeer van Fox-IT zetten wij CTMp-netwerksensoren in om afwijkingen te ontdekken en ons te alerteren op aanvallen. Omdat alle sensoren volledig netwerkverkeer opslaan hebben wij precies en met zekerheid kunnen vaststellen welke informatie is onderschept door de aanvaller, hoe het incident in de tijd verliep en wie getroffen is door de aanval.

Hierdoor weten we het volgende over de informatie die de aanvaller heeft weten te onderscheppen:

  • ClientPortal: we weten de volgende feiten over de informatie die de aanvaller heeft onderschept:
    1. Negen gebruikers hebben gedurende de MitM-aanval ingelogd. Hun inloggegevens zijn door de aanvaller onderschept. Deze gebruikers zijn direct geïnformeerd. Vanwege ons gebruik van tweestapsverificatie waren die inloggegevens op zichzelf niet bruikbaar voor de aanvaller om op ClientPortal in te loggen.
    2. Twaalf bestanden (waarvan tien uniek) zijn uitgewisseld en onderschept.
      • Van deze bestanden waren drie vertrouwelijk, maar geen enkele was staatsgeheim. Bestanden die als staatsgeheim zijn gerubriceerd worden nooit uitgewisseld middels ClientPortal.
      • Andere bestanden waren gekenmerkt als publiek en niet vertrouwelijk van aard.
      • Alle betrokken klanten met betrekking tot deze bestanden zijn onmiddellijk ingelicht.
    3. Eén mobiel nummer is onderschept. De betroffen persoon is geïnformeerd.
    4. Een deel van de namen en emailadressen van ClientPortal-gebruikers is onderschept.
      • Deze informatie op zichzelf is niet gevoelig, maar we hebben ervoor gekozen de betrokkenen toch te informeren.
    5. De namen van ClientPortal-accounts zijn onderschept.
      • Dit is een lijst van namen van organisaties waarmee wij bestanden hebben uitgewisseld in het verleden. Dat zijn bijvoorbeeld klanten, partners en leveranciers.
      • Na onderzoek hebben we vastgesteld dat deze namen op zichzelf niet gevoelig zijn.
  • Email: we weten dat de aanvaller gedurende maximaal 10 minuten Fox-IT email heeft onderschept en dat email gericht aan Fox-IT gedurende die 10 minuten is omgeleid naar een externe emailprovider. Omdat de verspreiding van email op internet decentraal geregeld is, kunnen we niet vaststellen welke e-mails gedurende die tijd door de aanvallers zijn onderschept.

De start van het proces van incident respons

We hebben vastgesteld dat de aanvaller met geldige inloggegevens succesvol heeft ingelogd op het DNS control panel van onze domein registrar. Dit roept twee vragen op:

  • Hoe zijn die geldige inloggegevens verkregen?
  • Waarom was toegang bij de domein registrar mogelijk met gewone authenticatie in plaats van tweestapsverificatie?

Voor de eerste vraag hoe de inloggegevens zijn verkregen hebben we uitgebreid intern onderzoek uitgevoerd, parallel aan het onderzoek van de politie. We hebben mensen geïnterviewd die toegang hadden tot de password manager, hebben uitgebreid forensisch onderzoek gedaan op alle systemen waar het wachtwoord gebruikt kan zijn geweest, en hebben aanvullend forensisch netwerkonderzoek uitgevoerd. We hebben momenteel geen bewijs dat het wachtwoord is gestolen van een van onze eigen interne systemen. Op basis van ons eigen onderzoek en dat van de politie hebben we sterk bewijs dat onze hypothese ondersteunt dat de aanvaller onze inloggegevens heeft verkregen door een succesvolle aanval op een derde partij. Dit onderzoek loopt nog.

Ons wachtwoord was niet gewijzigd sinds 2013 en dat heeft de aanvaller mogelijk geholpen. Hoewel ons wachtwoord sterk is en bestand tegen brute force aanvallen, was het niet gewijzigd omdat het zelden gebruikt werd: over het algemeen worden DNS-instellingen zelden aangepast. Dat neemt niet weg dat dit duidelijk iets is dat wij hadden kunnen verbeteren in  ons werkproces.

Het feit dat we zo zelden interactie hebben met onze domain registrar speelt ook een rol bij het antwoord op de tweede vraag  waarom de aanvaller zich toegang kon verschaffen tot de DNS records op basis van uitsluitend een gebruikersnaam en een wachtwoord. Tweestapsverificatie (two factor authentication, of 2FA) – waarbij een poging om in te loggen alleen kan worden afgemaakt als een code wordt ingevoerd die naar een geautoriseerd apparaat is verstuurd – zou hier standaard in gebruik moeten zijn. Wij hebben onze domeinnaam registrar 18 jaar geleden gekozen toen 2FA nog geen overweging of optie was. Het verbaasde ons dat de registrar nog steeds geen 2FA ondersteunt. Het is altijd de moeite waard om na te gaan of je registrar 2FA ondersteunt. Het antwoord kan je verbazen.

Redelijk snelle detectie, maar ruimte voor verbetering

We steken de hand in eigen boezem voor wat betreft een aantal fouten op het vlak van preventie. Op de vlakken van detectie en response waren we beduidend beter. Toen de aanval gaande was, hebben wij hem redelijk snel gedetecteerd: binnen een paar uur, ten opzichte van weken, wat gangbaarder is.

Ons Security Operations Center (SOC) had in de dagen voorafgaand aan de aanval al een aantal scans naar kwetsbaarheden opgemerkt. Deze waren beschouwd als gangbare “achtergrondruis op het internet” en zijn niet verder onderzocht. Extra aandacht voor deze scans had ons niet kunnen helpen om de opvolgende aanval te voorspellen maar het ons wel alerter gemaakt. We hebben nu maatregelen genomen om opmerkzaamheid op dit type verkenningsactiviteiten te verbeteren.

Effectieve respons, inperking en het vaststellen van de reikwijdte

Zodra een incident is gedetecteerd, is het belangrijkste doel om schade te beperken en om de impact van het incident vast te stellen. Zodra we van het incident wisten hebben we snel gehandeld. Hierdoor waren we in staat om de schade snel en effectief te beperken.

De belangrijkste actie die we hebben genomen om de schade te beperken was het uitschakelen van 2FA in plaats van het volledig uitschakelen van de inlogfunctionaliteit. We hebben dit specifiek zo gedaan om te voorkomen dat gebruikers konden inloggen maar ook de aanvaller niet te laten merken dat wij van de aanval wisten. Dit hielp ons om beter inzicht te krijgen in de modus operandi en de reikwijdte van de aanval, voordat we specifieke acties ondernamen om deze tegen te gaan. Dit is de standaardaanpak van ons CERT-team. Vanaf dat moment kon niemand meer inloggen en voorkwamen we dat er verkeer naar ClientPortal kon worden onderschept. Hiermee was de aanval weliswaar niet gestopt, maar ook niet meer effectief.

Het gebruik van CTMp-netwerksensoren met volledige opslag van netwerkverkeer was cruciaal voor het bepalen van de reikwijdte van de aanval. Binnen een paar uur nadat we op de hoogte waren van de aanval konden we precies bepalen wie erdoor geraakt was en wat de reikwijdte van de aanvaller is geweest. Dit heeft ons geholpen om snel zekerheid te krijgen over de aard van het incident,  om de getroffenen snel te informeren, alsmede de autoriteit persoonsgegevens.

Lessons learned en aanbevelingen

Terugblikkend op dit incident hebben we de volgende lessen geleerd:

  • Kies een DNS-provider die wijzigingen niet toestaat door middel van een control panel, maar daarvoor een handmatig proces heeft, gezien het feit dat name servers heel stabiel zijn en vrijwel zelden wijzigen. Als je regelmatiger wijzigingen wilt, gebruik dan 2FA.
  • Zorg ervoor dat alle wachtwoorden voor systeemtoegang regelmatig worden nagelopen en gewijzigd, zelfs de wachtwoorden die nauwelijks worden gebruikt.
  • Monitor “certificate transparency” voor detectie van, het volgen van en respons op frauduleuze certificaten.
  • Maak gebruik van volledige opslag van netwerkverkeer met voldoende retentie op cruciale punten in je netwerk, zoals de DMZ en internetkoppelingen.
  • Doe, zoals wij dat ook gedaan hebben, altijd in een vroeg stadium aangifte bij de politie, zodat zij je kunnen helpen bij je onderzoek.
  • Het is een managementbeslissing om eerst een aanval te begrijpen voordat je specifieke acties neemt om hem tegen te gaan. Maak deze keuze bewust, zoals wij dat ook gedaan hebben. Dit kan betekenen dat je de aanval een korte periode door laat lopen.

Een terugblik en conclusie

We betreuren dat dit incident heeft kunnen plaatsvinden en de tekortkomingen aan onze kant die daaraan bij hebben gedragen. Tegelijkertijd zien we ook dat dankzij een aantal maatregelen aan onze kant we deze aanval snel konden detecteren,  met vertrouwen konden reageren en daarmee de omvang en duur van de aanval hebben kunnen beperken. Dat is waarom de twee belangrijkste uitgangspunten van security blijven:

  • Gelaagde beveiliging
  • Preventie, detectie en respons

Op het moment dat of verandert in wanneer, is het de combinatie van deze uitgangspunten die uiteindelijk je weerbaarheid en houding op het vlak van security bepalen.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft