Overslaan en naar de inhoud gaan

Fox-IT 10 uur lang gehackt

De op 19 september uitgevoerde aanval heeft gericht een webapplicatie voor beveiligde documentuitwisseling op de korrel genomen. Met succes: de 10 uur en 24 minuten durende onderschepping heeft de daders twaalf bestanden opgeleverd.
Fox-IT icon
© Fox-IT
Fox-IT

Fox-IT doet de hack nu publiekelijk uit de doeken.

"Het is een algemeen geaccepteerd uitgangspunt: het is niet langer de vraag of je met een incident te maken krijg, maar wanneer. Of werd voor Fox-IT wanneer op dinsdag 19 september 2017, toen we geraakt zijn door een Man-in-the-Middle-aanval", schrijven security-experts Erik de Jong en Frank Groenewegen van Fox-IT.

Zorgvuldig voorbereid

Groenewegen geeft AG Connect een toelichting. Hij bevestigt de indruk dat de aanvallers professioneel te werk gingen. "Ze waren zorgvuldig voorbereid; moesten systemen klaarzetten, certificaten aanvragen." Ondanks de gedegen voorbereiding van deze doelgerichte aanval op Fox-IT is de aanval al vrij snel aan het licht gekomen.

De security-experts van Fox-IT hebben het incident snel gedetecteerd en daarop vlot actie ondernomen. Daarmee is de effectieve duur van de Man-in-the-Middle (MitM) aanval beperkt tot 10 uur en 24 minuten. In de bekendmakende blogpost schrijven De Jong en Groenewegen: "Dat is kort, gezien het feit dat de meeste incidenten pas na weken worden ontdekt. Toch hebben we niet kunnen voorkomen dat de aanvaller een klein aantal bestanden heeft kunnen onderscheppen, waartoe hij geen toegang had mogen hebben."

Drie stuks vertrouwelijk

Fox-IT heeft toen gelijk aangifte gedaan bij de politie. Daarbij zijn ook meteen de organisaties ingelicht die betrokken zijn wat de onderschepte bestanden betreft. In totaal zijn twaalf bestanden onderschept, waarvan er tien uniek waren. Hiervan waren drie stuks van vertrouwelijke aard, maar geen een hiervan was staatsgeheim. Bestanden met die hoge geheimhoudingsclassificatie worden nooit uitgewisseld via de webapplicatie, genaamd ClientPortal, die nu dus gehackt blijkt te zijn.

De hack op de webapplicatie voor beveiligde bestandsuitwisseling is middels een domeinnaamomleiding tijdelijk via de aanvallende partij verlopen. De daders hebben daarvoor succesvol de DNS-records van Fox-IT weten te wijzigen. Dit is gebeurd door bij de domain registrar van Fox-IT een verandering door te voeren, waardoor de domeinnaam clientportal.fox-it.com verwees naar een server van de aanvaller

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in