Het Instituut voor Veiligheids- en Crisismanagement, voorheen het Crisis Onderzoeksteam of COT, heeft de cyberaanval op de Hogeschool en Universiteit van Amsterdam (HvA en UvA) bestudeerd. Uit het onderzoek blijkt dat de crisisorganisatie goed heeft gewerkt en dat mensen uit diverse geledingen goed hebben samengewerkt. De bron van de aanval wordt eveneens genoemd: een besmette laptop van een student.
Dat schrijft het COT in het evaluatierapport ‘Aanval afgeslagen. Leerevaluatie cyberaanval Hogeschool van Amsterdam en Universiteit van Amsterdam’.
Hacker infiltreert netwerk HvA en UvA
In februari waren de HvA en UvA het doelwit van een cyberaanval. Een hacker slaagde er toen in om de IT-omgeving van de onderwijsinstellingen binnen te dringen. Daarbij kende hij zichzelf meer rechten toe, waardoor hij het gehele netwerk kon infiltreren. Enkele dagen later (het is dan 15 februari) zag het Security Operations Center (SOC) van de HvA en UvA verdachte activiteiten op het netwerk. Ze zagen dat de aanvaller een password spraying attack uitvoerde en de domeincontrollers probeerde over te nemen. Signalen die passen bij een ransomware-aanval, zo concludeerde men al vrij snel.
Bij een password spraying attack probeert een hacker een account over te nemen door een veelgebruikt wachtwoord in te voeren. Om te voorkomen dat hij wordt betrapt, wordt hetzelfde wachtwoord bij meerdere accounts uitgeprobeerd. Als blijkt dat dit wachtwoord bij geen enkele account werkt, dan gaat de aanvaller over op een tweede wachtwoord. Werkt ook dit niet, dan volgt een derde wachtwoord, enzovoorts, totdat er een match is. Door op deze manier te werk te gaan, voorkomt de dader dat een account wordt geblokkeerd en hij niet wordt opgemerkt.
Studenten en medewerkers wijzigen massaal wachtwoord
Het College van Bestuur van zowel de hogeschool als universiteit wordt geïnformeerd over de aanval. De centrale crisisorganisatie gaat vanaf dat moment aan de slag. De onderwijsinstellingen besluiten om terug te vechten: het afsluiten van het netwerk zou te grote gevolgen hebben voor de continuïteit van het onderwijs.
In de daarop volgende dagen blijkt dat de aanvaller inloggegevens en versleutelde wachtwoorden heeft weten buit te maken. Hij slaagde er namelijk in om de Active Directory te downloaden waarin deze gegevens worden opgeslagen. Hiermee kan een nieuwe aanval met gijzelsoftware worden uitgevoerd. Ook kan de dader besluiten om deze informatie te verkopen. Studenten en medewerkers kregen de opdracht om hun wachtwoord te wijzigen. Ze gaven massaal gehoor aan deze oproep: binnen enkele dagen hadden meer dan 100.000 man hun wachtwoord aangepast.
Cyberaanval wordt afgeslagen
De strijd tegen de aanvaller gaat ondertussen gewoon door. Op 10 maart geeft het centrale crisisteam het sein brandmeester. De herstelwerkzaamheden nemen daarna nog enkele weken in beslag. “Deze aanval laat opnieuw zien dat het hoger onderwijs een doelwit is van gerichte aanvallen en dat het nodig is om bijzonder alert te zijn”, zei Jan Lintsen, lid van het College van Bestuur van de UvA, destijds.
Hanneke Reuling, vicevoorzitter van het College van Bestuur van de HvA, vertelde dat het academisch onderwijs en onderzoek minimaal te lijden hadden onder de cyberaanval. Ze benadrukte dat het belangrijk is om lessen te trekken uit de aanval en te blijven investeren in informatiebeveiliging.
Colleges van Bestuur trots op intensieve samenwerking
“Het COT concludeert dat veel mensen in de UvA/HvA hebben bijgedragen aan het afslaan van de aanval”, lezen we in het eindrapport. “Betrokken medewerkers bleken deskundig, mensen uit verschillende disciplines werkten goed samen en er was onderling vertrouwen tussen functionarissen op sleutelposities. De interne samenwerking was effectief, integraal en flexibel. De impact kon tot een minimum worden beperkt. Nadat UvA/HvA de tegenaanval hadden ingezet, hebben de hackers hun aanval niet doorgezet en zijn zij niet overgegaan tot gijzeling van data. Investeren in digitale veiligheid en weerbaarheid blijft nodig, ook nadat eerder stappen werden gezet op dat gebied.”
De Colleges van Bestuur zijn de onderzoekers van het COT van harte dankbaar voor de uitgebreide evaluatie. “Dit levert ons waardevolle aanknopingspunten op”, vertelt Reuling. Haar collega Lintsen valt haar bij en benadrukt hij trots is op alle medewerkers. “Het maakt mij trots als ik in de evaluatie teruglees dat de mensen in organisatie zeer professioneel gehandeld hebben en dat er effectief werd samengewerkt.” De evaluatie maakt volgens hem ‘heel goed duidelijk’ dat onderwijsinstellingen zich nooit veilig kunnen wanen. In zijn ogen is het belangrijk om de komende periode fors te investeren om de beveiliging naar een hoger niveau te tillen.
Deze aanbevelingen moeten herhaling in de toekomst voorkomen
De bron van de aanval -door de onderzoekers ook wel ‘Patient-0’ genoemd- is een besmette laptop van een student. Wie deze student is en hoe zijn laptop besmet is geraakt, wordt nergens in het evaluatierapport genoemd. In het rapport worden wel allerlei veiligheidsmaatregelen op het gebied van preventie, detectie en respons genoemd.
Zo was het autorisatieproces in de Citrix-omgeving enkel beveiligd met een gebruikersnaam en wachtwoord. Multifactorauthenticatie ontbrak. Als dit was ingeschakeld, had de aanval mogelijk afgewend kunnen worden. “Authenticatie op basis van alleen een gebruikersnaam en wachtwoord wordt onveilig geacht wanneer het een hoog-risico-omgeving betreft of wanneer de dienst vanaf het internet benaderbaar is”, schrijven de onderzoekers.
‘Een significant aantal gebruikers’ beschikte over een zwak wachtwoord. Een ander wachtwoordbeleid is daarom gewenst. Het afdwingen van een sterk wachtwoord en het periodiek wijzigen van het wachtwoord zijn daar twee voorbeelden van. Netwerksegmentatie en -segregatie maakt het voor aanvallers moeilijker om zich door het netwerk te begeven. Veel apparaten en systemen zijn voorzien van een publiek IP-adres en DNS-naam die opvraagbaar is. “De DNS-namen geven regelmatig prijs welke rol een systeem heeft”, zo zeggen de onderzoekers. Het is verstandig om deze niet langer publiekelijk inzichtelijk te maken.
Verder adviseert men om voldoende logboekregistraties aan te maken, het netwerkverkeer continu te monitoren, Endpoint Detection and Response software (EDR) te implementeren om securityincidenten in een vroeg stadium te detecteren, een incident-responseplan te formuleren en een back-up en herstelplan instellen.
