Verenigde Naties hield 'serieuze' hack stil voor werknemers

De VN ontdekte de aanval op 30 augustus 2019, maar de hack bleek toen al een maand bezig te zijn. De aanvallers kwamen halverwege juli al binnen. Dat blijkt uit een vertrouwelijk rapport van de VN dat The New Humanitarian en The Associated Press in handen hebben. De aanval en het stilhouden daarvan zijn door VN-woordvoerder Stéphane Dujarric tegenover de beide media bevestigd.

"De aanval resulteerde in het compromitteren van kerninfrastructuurcomponenten", vertelt hij aan The New Humanitarian. Volgens Dujarric is de aanval geclassificeerd als 'serieus'. "Aangezien we de precieze aard en omvang van het incident niet konden vaststellen, besloten de VN-kantoren in Genève en Wenen om de hack niet publiekelijk bekend te maken."

Niet alleen het publiek werd in het ongewisse gehouden, ook werknemers waren niet op de hoogte van de aanval of dat hun persoonlijke informatie mogelijk gelekt was. Wel werden zij gevraagd hun wachtwoorden te veranderen. IT-werknemers kregen op 30 augustus echter wel de mededeling dat er vanuit werd gegaan dat het gehele domein gecompromitteerd was. "De aanvaller toont tot nu toe geen signalen van activiteit, we gaan er vanuit dat ze hun positie hebben bepaald en sluimerend zijn."

Staatshackers mogelijk bij aanval betrokken

Volgens het rapport zijn 42 servers van de Office of Information and Technology gecompromitteerd. Drie daarvan zijn het eigendom van het kantoor voor mensenrechten, twee zijn in gebruik bij de Economic Commission for Europe. Nog eens 25 servers, die vrijwel allemaal in kantoren in Wenen en Genève staan, worden als 'verdacht' aangemerkt. 

Een anonieme werknemer van de VN vertelt aan The Associated Press dat de hack erg "geavanceerd" leek. De aanval was zelfs zo geavanceerd dat het mogelijk is dat er door een staat gesponsorde hackers achter zitten, aldus de bron. De omvang van de schade is echter nog altijd onduidelijk. Het is dus niet duidelijk hoeveel persoonlijke, geheime of compromitterende informatie er is gestolen. Sinds de aanval zijn de systemen wel verder verstevigd. 

Volgens het rapport was het soort malware was voorheen onbekend. Ook konden de technici geen command and control-servers op het internet identificeren die gebruikt waren om informatie te stelen. De VN weet verder niet welk mechanisme gebruikt is om aanwezig te blijven op het geïnfiltreerde netwerk. De hackers hadden ontdekt kunnen worden op basis van logs waar in staat waar ze toegang toe hebben gekregen. Die logs waren echter verwijderd, aldus het rapport. 

Twintig machines opnieuw opgebouwd

Na de aanval werden diverse maatregelen genomen. In het rapport, dat op 20 september verscheen, worden kwetsbaarheden aangemerkt, pogingen om de schade te beperken beschreven en staat beschreven dat de schade nog wordt opgemaakt. Volgens het rapport is ook duidelijk hoe de hackers binnen konden komen: een lek in de SharePoint-software van Microsoft.

Technici in de kantoren in Genève hebben de afgelopen maanden in ieder geval twee keer in het weekend gewerkt om het lokale datacentrum van de VN te isoleren van het internet, wachtwoorden te herschrijven en te verzekeren dat systemen schoon waren. Twintig machines moesten opnieuw opgebouwd worden. 

The New Humanitarian meldt dat de VN vanwege diplomatieke immuniteit niet verplicht is om te melden wat er precies gestolen is door de hackers. Ook zijn ze niet verplicht om de getroffenen op de hoogte te stellen.