Waarschuwing Britse en Amerikaanse Inlichtingendiensten

Aanvallen op netwerkapparatuur door Russische ‘state-sponsored’ hackers

Waarschuwing Britse en Amerikaanse Inlichtingendiensten

Een unicum: de FBI, de Amerikaanse Department of Homeland Security en het Britse National Cyber Security Centre waarschuwen voor aanvallen op netwerkapparatuur door Russische ‘state-sponsored’ hackers. Het blijft speculeren, maar hoogstwaarschijnlijk ingegeven door de oplopende spanningen tussen het Westen en Rusland, hebben deze organisaties niet eerder zo duidelijk aangegeven door wie de cyberaanvallen worden uitgevoerd.

Nederland

Tot de netwerkapparatuur waar het hier om gaat behoren routers, switches, firewalls en netwerkgebaseerde intrusion detection systemen. Het zijn apparaten die werken met Generic Routing Encapsulation (GRE), Cisco Smart Install (SMI) en het Simple Network Management Protocol (SNMP). Uit onderzoek dat Fox-IT heeft uitgevoerd blijkt dat het wereldwijd om ruim 150.000 apparaten gaat die mogelijk specifiek kwetsbaar zijn voor SMI,, waarvan 1362 in Nederland. Deze apparatuur is voornamelijk in gebruik bij bedrijven en overheidsorganisaties, aanbieders van kritieke infrastructuren (specifiek de energiesector) en internet service providers. De waarschuwing van de Amerikanen en Britten is niet bedoeld voor thuisgebruikers.

Sabotage

Wat de Russische ‘state-sponsored’ hackers precies willen bereiken met hun aanvallen blijft speculeren. Het gebruik van de netwerkapparatuur om een cyberleger te vormen voor grootschaliger aanvallen is niet erg waarschijnlijk, hoewel mogelijk bestaan veel betere methoden. Waarschijnlijker is dat de hackers via deze apparatuur het netwerkverkeer monitoren, het beheer overnemen en het interne bedrijfsnetwerk binnendringen, bijvoorbeeld om intellectueel eigendom te stelen. Gevaarlijker is het plegen van sabotage. Eenmaal binnen kan allerlei op het netwerk aangesloten apparatuur worden uitgeschakeld en data gemanipuleerd worden. Zeker als dat bij kritieke infrastructuren gebeurt – denk aan het energienet – kan dat desastreuze gevolgen hebben.

Vooruitgeschoven positie

In onderzoeken treffen we soms statelijke actoren aan die op dat moment geen activiteit ontplooien. Wat hebben ze daar dan te zoeken? Politieke spanningen escaleren vandaag de dag niet meteen naar een klassiek gewapend conflict. De digitale variant heeft de voorkeur. Maar wie direct wil aanvallen heeft geen tijd om eerst een tijdrovende hack uit te voeren en moet al een ‘vinger aan de knop’ hebben. We denken dat statelijke actoren momenteel al jaren de mogelijkheden verkennen en alvast bij relevante organisaties binnendringen om een vooruitgeschoven positie te verkrijgen. De waarschuwing toont wederom aan dat ze dit op grote schaal doen. Als ‘de staat’ er om vraagt is een druk op de knop voldoende om de aanval onmiddellijk in te zetten.

Verkeerde configuratie

Vergelijkbare aanvallen op dit soort apparaten zien we al vanaf 2016. Hackers hebben graag toegang tot netwerkapparatuur, het is een mooie plek om volledige controle over het internetverkeer te krijgen. Doordat deze apparatuur zich aan de ‘buitenkant’ bevindt en de functionaliteit wordt onderschat, is er vaak onvoldoende aandacht voor de beveiliging. Zo wordt vaak vergeten om updates door te voeren. Ook ontbreekt het nogal eens aan aandacht voor de juiste configuratie. Een verkeerde configuratie is eigenlijk geen kwetsbaarheid, maar kan het voor de hacker net zo goed makkelijk maken om binnen te komen.

Breng de basishygiëne op orde!

Wat kunnen bedrijven en organisaties concreet doen, nu ze zijn gewaarschuwd? Gezien het bovenstaande is het eerste dringede dringende advies om te kijken of je wellicht apparaten hebt in je netwerk van Cisco, waarvan de SMI-functionaliteit open stond naar buiten toe. Daarna verder kijken naar de basishygiëne. Als je zelf de IT niet doet, ga dan hierover in gesprek met je IT-leverancier om te kijken wat hij op dit vlak voor je kan betekenen.om de basishygiëne op orde te brengen. Begin met het vaststellen van de risico’s: is er een apparaat waarvoor gewaarschuwd wordt aanwezig? In principe geldt dit voor elk apparaat dat je aan een netwerk – en zeker internet – hangt: welke poorten staan er open en voor wie moeten die bereikbaar zijn? Zet die ofwel uit, ofwel beperk de toegang, bijvoorbeeld door middel van authenticatie of andere manieren van access control. Welke protocollen zijn actief (Telnet is bijvoorbeeld zeer onveilig en moet echt UIT staan) en is dat wel nodig?

Preventie, detectie en respons

Probeer vervolgens vast te stellen of er daadwerkelijk hackers zijn binnengekomen, aan de hand van de informatie die het Britse NCSC UK naar buiten heeft gebracht. Zo ja, onderzoek wat zij hebben gedaan, tot waar zijn ze doorgedrongen en hebben ze data gestolen of gemanipuleerd. En tref vervolgens maatregelen. Ook weer gaat het de drie fundamentele pijlers: preventie, detectie en respons. We zien dat organisaties zeker stappen makken om dit op orde te krijgen, maar tegelijk kan er nog veel worden verbeterd!

Securityverantwoordelijkheid!

Tot slot hebben de leveranciers ook een verantwoordelijkheid, die zij gelukkig ook steeds vaker nemen. Netwerkapparatuur zou standard onbruikbaar moeten zijn als de configuratie niet juist is en er bijvoorbeeld nog allerlei poorten open staan. Maar wat is de juiste configuratie? Daar is toch (security)kennis van zaken voor nodig. Alleen is die niet altijd aanwezig bij IT-dienstverleners die over de netwerkapparatuur gaan, zeker niet bij de kleinere. Terwijl zij allemaal securityverantwoordelijkheid zouden moeten nemen. Verifieer dus of je IT-dienstverlener met deze waarschuwing om kan gaan! De IT-dienstverleners die dat niet kunnen zouden zich de benodigde securitykennis eigen moeten maken, of een securitypartner zoeken die de materie kent. Ook voor hen is er dus werk aan de winkel!

Meer informatie over de waarschuwing van de FBI, DHS en NCSC: https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices. Hier is ook een uitgebreide Advisory beschikbaar met technische informatie: https://www.ncsc.gov.uk/file/3138/download?token=bRXnaQHx

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft