Het Internationale Comité van het Rode Kruis (ICRC) heeft de oorzaak van de cyberaanval van afgelopen maand weten te achterhalen. Een authenticatiemodule bleek niet te zijn gepatcht. Doordat deze beveiligingsupdate niet was geïnstalleerd, konden de aanvallers misbruik maken van een zero day exploit in de software.
Dat schrijft Robert Mardini, hoofd van het ICRC, in een updatebericht en analyse over de aanval.
Hackers stelen persoonsgegevens half miljoen mensen
In januari was het hoofdkantoor van het Internationale Comité van het Rode Kruis in Genève het doelwit van een cyberaanval. Hackers hadden toegang tot persoonlijke en privacygevoelige gegevens van 515.000 vluchtelingen en andere ‘extreem kwetsbare mensen’. Onder hen ruim 4.600 mensen die in het verleden bij de Nederlandse afdeling van het Rode Kruis hebben aangeklopt. Verder wisten de aanvallers de inloggegevens van zo’n 2.000 medewerkers en vrijwilligers buit te maken.
Nadat het datalek aan het licht kwam, kon het ICRC aanvankelijk weinig details geven over de cyberaanval. Mardini vermoedde dat het om een gerichte aanval ging op het Rode Kruis. Hij gaf aan in gesprek te willen treden met de daders, maar dat is tot op heden nog altijd niet gebeurd. Er is dan ook nog altijd geen losgeld geëist om de data weer terug te krijgen. Voor zover bekend zijn er geen persoonsgegevens of wachtwoorden openbaar gemaakt.
Beveiligingsupdate niet geïnstalleerd
Woensdag kwam Mardini met nieuwe details over de cyberaanval aanzetten. Op de website van het ICRC schrijft de topman dat de hackers misbruik hebben gemaakt van een beveiligingslek in de authenticatiemodule Zoho ManageEngine ADSelfService Plus. Het Rode Kruis gebruikt deze software om wachtwoorden te resetten die nodig zijn om toegang te krijgen tot de Active Directory en cloudapplicaties.
Softwareontwikkelaar Zoho was bekend met het beveiligingslek, dat geclassificeerd is als een zero day exploit. Dat houdt in dat het lek al sinds de lancering van het product bestaat, maar toentertijd nog niet bekend was bij de fabrikant. Begin september bracht Zoho een patch uit voor het lek, ook wel bekend als CVE-2021-40539. Deze was echter nog niet geïnstalleerd door het Rode Kruis. Waarom dat destijds niet is gebeurd, is onduidelijk.
“Jaarlijks voeren wij tienduizenden patches uit op al onze systemen. Het tijdig toepassen van kritieke patches is essentieel voor onze cyberbeveiliging, maar helaas hebben wij deze patch niet op tijd toegepast voordat de aanval plaatsvond”, vertelt Mardini.
Rode Kruis komt met aanvullende beveiligingsmaatregelen
Het datalek bij het Rode Kruis kwam op 18 januari aan het licht. Uit eigen onderzoek blijkt echter dat de daders op 9 november vorig jaar al toegang hadden tot de servers van het ICRC. Volgens Mardini gebruikten de aanvallers “geavanceerde hacking tools” die niet beschikbaar zijn voor het grote publiek. Ze deden er ook alles aan om hun identiteit en malafide programma’s te verbergen. Dat betekent volgens de directeur dat de aanvallers beschikten over technische kennis en expertise.
Nadat IT-medewerkers op het beveiligingslek stuitten hebben ze de getroffen servers direct offline gehaald. Als aanvullende beveiligingsmaatregel voert het Rode Kruis tweefactorauthenticatie in en gaat de organisatie werken met een geavanceerde Threat Detection Solution.
