Hackers maakten 23GB aan data buit bij Zwitsers defensiebedrijf

De hack op het Zwitserse defensiebedrijf RUAG leverde de hackers 23GB aan gegevens op. Dat blijkt uit een rapport van de Zwitserse overheidsdienst voor informatiebeveiliging Melani. De overheid wijst geen verantwoordelijke partij aan.

Het onderzoek biedt geen inzicht in de aard van de buitgemaakte gegevens, alleen in de hoeveelheid. Bovendien kunnen dezelfde gegevens meer dan eens zijn verstuurd, waardoor het totaal oploopt. Ook maken verzoeken naar de command and control-servers deel uit van de 23GB. De Zwitserse overheid laat weten dat er geen persoonlijke gegevens zijn gestolen. Eerder werd vermoed dat zowel gegevens van Zwitserse ambtenaren als van de speciale eenheid AAD 10 waren buitgemaakt. In Nederland leidde het incident tot Kamervragen.

Destijds werd er bovendien van uitgegaan dat Russen verantwoordelijk waren voor de aanval. De Zwitserse regering zegt maandag echter niet te weten welke partij achter de actie zit. Uit het onderzoek blijkt verder dat de aanvallers gebruikmaakten van Turla-malware om de RUAG-systemen te besmetten. Ook kwam naar voren dat zij geduldig te werk gingen en alleen verder het netwerk binnendrongen nadat zij doelwitten uitgebreid hadden geïdentificeerd. Het hoofddoel bij de aanval was de Active Directory, waardoor het mogelijk was om andere apparaten te controleren en permissies te manipuleren.

Voor de communicatie tussen geïnfecteerde machines gebruikten de aanvallers zogenaamde named pipes, waardoor het verkeer moeilijk te detecteren was. Bovendien waren sommige machines alleen verantwoordelijk voor de communicatie met c&c-servers; zij speelden de ontvangen commando's vervolgens weer door naar andere machines als een soort p2p-netwerk. De gebruikte malware bezit volgens de onderzoekers geen rootkit-functionaliteit.

RUAG, een defensiebedrijf waarvan alle aandelen in handen zijn van de Zwitserse overheid, was sinds september 2014 het doelwit van de onbekende hackers. In januari van dit jaar werd er melding van het incident gemaakt. Het Zwitserse Melani onderstreept in het onderzoek de noodzaak van het melden van incidenten en het delen van informatie met andere partijen.

ruag hack

IT-banen

Reacties (36)

Verwijderd 23 mei 2016 13:09

Door het internet is het Westen zo lek als een mandje geworden. Al onze geheimen lekken gewoon weg.

Ik las b.v. dat de Chinezen druk bezig zijn om te proberen de geheimen van ASML te stelen en vervolgens te kopiëren. Hoe lang nog voordat dit ze lukt? Elk bedrijf is op internet aangesloten (op z'n minst via e-mail maar natuurlijk ook via webbrowsers). Vroeg of laat klikt er iemand op een attachment en dat is het gedaan.

Ik stel voor dat kritieke bedrijven alleen nog maar via virtuele machines met het internet communiceren en niet meer er rechtstreeks op zitten.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:58]

Verwijderd @Verwijderd • 23 mei 2016 13:30

Wat ik weet van ASML is dat alle source code in een clearcase monorepo zit. Iedereen kan dus aan zo goed ale alle code. Aangezien de helft van de techneuten uit Eindhoven al wel eens ooit voor ASML gewerkt heeft, wil dat dus zeggen dat de helft van de techneuten uit Eindhoven moet gesurveilled worden om er zeker van te zijn dat niemand iets lekt.

Toen ik het hoorde van die monorepo in clearcase dacht ik: ok dan. Dat wil per definitie zeggen dat alle code van ASML al reeds jaren constant gekopieerd wordt en dat het bedrijf al jaren zo lek als een zeef is.

De oplossing die ze bij Nokia's MeeGo en Maemo groepen hadden was binary packages en een eenvoudige Debian repository. Dat wil dus zeggen dat iedereen -dev, -dbg en bin packages keurig en volgens de package regels moest opleveren. Maar absoluut en zéker géén monorepo waar alle source code in zit. Bij Nokia was er gegarandeerd sprake van bedrijfsspionage (hier op Tweakers hebben de lekken zelfs gestaan). Maar source code van de niet open source delen is zo ver ik weet niet of nauwelijks gelekt geweest. Nochtans bevat zo'n smartphone toch wel honderden miljoenen lijnen code en nochtans werkte een groot deel van mensen die in die groepen zaten van thuis uit.

himlims_ @Verwijderd • 23 mei 2016 13:18

dat is al gebeurt

via diverse blackmarkets kun je 'gewoon' toegang kopen

kan overigens bij de meeste grote bedrijven ter wereld.

bedrijfscruciale data mag -nooit- via internet bereikbaar zijn; tuurlijk zal men wel remote/cloud/vpn etc. kunnen gebruiken. maar die 'paar' documenten of regels code, mag nooit via buiten de zaak benaderd worden.

als iets als 'brug' funcioneerd; was er dus optie om via internet te bereiken

[Reactie gewijzigd door himlims_ op 23 juli 2024 19:58]

Verwijderd @himlims_ • 23 mei 2016 15:19

Dat is nog niet voldoende. Als je toegang geeft tot alle informatie aan al je medewerkers, is het een kwestie van tijd tot je concurrent eens één keer één van haar bedrijfsspionnen door je aanwervingsprocedures weet te krijgen. En dan is het gebeurd.

Wat valt daar aan te doen? Alle informatie segmenteren. Is dat software code? Dan is het zelfs eenvoudig: vrijwel alle talen maken het mogelijk om een API zonder de implementatie aan te leveren. Bij .NET en Java zit de API mee in de assembly. Bij C en C++ maak je header files. Programmeurs delen die header files samen met object files (.so files of DLL files om dynamisch te linken en .a files om statisch te linken).

Alle package management systemen ondersteunen dit of er zijn mogelijkheden om het juist te doen: bij Windows en .NET enzo gebruik je .MSI voor installatie packages en NuGet voor het publiceren en distribueren van assemblies. Je release infrastructuur moet dus een NuGet package bouwen. En tiens! TeamCity ondersteunt dat helemaal! Raar he, dat de juiste werkwijze altijd toch zo goed ondersteund is overal? En raar dat het fout doen altijd zo slecht ondersteund is overal. Raar he.

Voor ontwikkeling op Linux met bv. C en C++ heb je zowel bij RPM als bij DEB de -devel en de -dev packages. Wil je ook debugging symbols distribueren dan heb je -debug en -dbg packages. Je hebt ook source packages, maar uiteraard deel je source code meestal met iets als git. Je beheert je versies door de branching strategy gitflow. Je laat de Jenkins dus een DEB of een RPM package bouwen en je laat dat pushen naar je package repository als een nieuwe versie (daar gebruik je dan weer semver.org voor).

En dan doen alle andere programmeurs: apt-get update, apt-get upgrade. En hopla, ze hebben de nieuwe versie van je API wijzigingen. Geen monorepo nodig. En daardoor kan je ieder project individueel beveiligen. Heeft iemand ingebroken? Dan kan die hooguit aan een paar projecten aan. Niet aan alles.

Pas dit nu ook toe voor alle andere zaken.

necessaryevil @Verwijderd • 23 mei 2016 15:26

Kritische data jatten kan slecht uitpakken, maar het is nog niet persé gebeurt met het bestolen bedrijf. Je steelt namelijk alleen het product, niet de vaardigheden. Het stelende bedrijf loopt altijd nog een stap achter. Ik wil niet zeggen dat het geheel onschuldig is, maar dat is iets anders dan dat het per definitie is gebeurt.

Verwijderd @necessaryevil • 23 mei 2016 15:38

Mja als zelf nogal open source fanaat weet ik maar al te goed dat je en bedrijf nog zoveel source code kan geven als je wil, innovatie zal er niet uitkomen tenzij je ook de juiste mensen hebt. Van bijna alles kan je tegenwoordig dan ook zeer goede implementaties vinden. Wat ontbreekt zijn mensen die er wat mee kunnen doen en die de componenten op een zinnige manier aan elkaar kunnen hangen om een geheel te vormen (dus, programmeurs).

Maar goed. Er zijn kostuumdragers die dat per se belangrijk vinden. Het grappige is dat die kostuumdragers doorgans zich laten bespelen door "security" mensen die er eigenlijk niets van snappen. En dan verschiet men er van dat massa's van hun data, code, plannen en blauwdrukken gestolen worden.

Als om het even wie aan alles aan kan, en je zet zelfs de boel offline, dan is één USB stick en twintigtal seconden wachten na één drag en drop genoeg om alles te jatten. Daarmee breek je de hele security af: USB stick er in, drag, drop, 20s wachten, USB stick er uit.

cobis taba @himlims_ • 23 mei 2016 13:44

Ook niet via het interne netwerk, je zag hoe Hacking Team alsnog de sjaak was doordat 1 server als brug kon fungeren.

wica @Verwijderd • 23 mei 2016 13:12

Wat voor bescherming geven virtuele machines, hier tegen?

ShellGhost @wica • 23 mei 2016 13:19

Niet. De mens blijft de zwakke schakel in het geheel.

wica @ShellGhost • 23 mei 2016 13:30

Misschien dat @ArtGod een manier wist, waardoor een virtuale machine wel veiliger is dan elke andere machine.
Daarom dat ik er ook zo nieuwsgierig naar ben, is niet dat er nooit een bug zit in de hypervisor, waardoor je via de guest door kan stomen naar de host.

Verwijderd @wica • 23 mei 2016 20:51

Het idee is dat je vanaf je interne netwerk PC via een RDP verbinding naar een virtuele machine gaat welke verbonden is met het internet. Je PC met geheime informatie is dus niet rechtstreeks verbonden met het internet en zolang je de twee scheidt kan je niet zo eenvoudig besmet worden met kwaadwillende software. Op de virtuele machine staat dus je webbrowser en je e-mail. Je kan informatie cut-pasten tussen de twee maar bestanden overhalen moet onmogelijk zijn of zeer sterk gereguleerd.

Er zijn trouwens bedrijven die dit soort diensten aanbieden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:58]

wica @Verwijderd • 23 mei 2016 21:14

Zowiezo dank voor de uitleg

Deze oplossing is niet veiliger dan een fysieke computer, die je alleen voor je webbrowser en/of mail gebruikt.

Mijn grootste probleem is dat men virtuale machine's veiliger acht dan een fysieke computer, dit terwijl er al enkele malen een mogelijkheid was om via de guest naar de host te gaan. En daarmee eigelijk toegang heeft tot alle draaide vm's op die host en vlan's.

Intel heeft heeft er al eens mee te maken gekregen: http://www.kb.cert.org/vuls/id/649219
Maar ook enkele softwarematige bugs bij o.a. vmware en xen maakte dit mogelijk.

Er zijn trouwens bedrijven die dit soort diensten aanbieden.

Klopt, zie het vaak genoeg langs komen, met de benodige storings meldingen en spoed onderhoud, een kpn dochter

Verwijderd @wica • 23 mei 2016 23:55

ASML maakt gebruik van XenDesktop. Ik heb een presentatie gezien hierover op DuCug: https://twitter.com/ducug/status/710819557930180610

En ja, Desktop VM's zijn veel veiliger. Je kunt ze veel met beheren dan laptops die lange tijd buiten je netwerk rondzwerven. Daarnaast controleer je fysieke toegang volledig. Ze herstarten in een 'clean' state van een basis image en met RES WorkspaceManager blokkeer je alle processen anders dan je hebt ge-whitelist.

Het is niet perfect maar komt zeer dichtbij. De beheerders zijn vaak de zwakke schakel in dit spel. Ze zijn ook maar mensen.

Verwijderd @ShellGhost • 23 mei 2016 13:32

Dat virtuele machines geen bescherming bieden heeft niet met de mens als zwakke schakel te maken. Die zwakke schakel is de mens ook bij fysieke computers.

Het virtueel zijn biedt op zichzelf geen extra bescherming als je de virtuele machines net zo beveiligd als de fysieke computers.
Als je de virtuele computers wel goed beveiligd moet je je afvragen waarom je dat met je fysieke computers niet doet.

Verwijderd @Verwijderd • 23 mei 2016 23:58

VMs bieden wel degelijk extra bescherming. Je draait de software immers in een extra container. Windows 10 Enterprise ondersteund ook een extra 'authorisatie' VM die ontoegankelijk is voor de machine waar deze op draait (Volgens MS). Deze handelt authorisatie tokens af en moet pash-the-hash attacks onmogelijk maken.

Eusebius @ShellGhost • 23 mei 2016 13:35

ah vandaar al die Chinezen die de snackbars overnemen. Het is gewoon infiltratie van onverwachte kant: 'wat doet de snackbarhouder nou weer midden in de nacht bij me thuis achter mijn werklaptop..? Ah, hij komt de saté brengen. Niks aan de hand' :-)

/grapje natuurlijk voordat ik gedownvote wordt

josipbroz @wica • 23 mei 2016 13:32

Virtuele machine voordelen zitten in principe niet in betere beveiliging dan een fysieke machine.
Voordelen van een VM (virtuele machine, netwerk of een ander gevirtualiseerd hardware) zitten met name in de flexibiliteit en kostenbesparing (uiteraard ook wel ergens veiligheid omdat het o.a. fysiek beter te beveiligen zal zijn).
Veiligheid is overigens niet enkel door techniek op te lossen. Een uber firewall of een High end filtering oplossing is ook verkeerd te configureren, net zo makkelijk als een foute USB gebruiken op plekken waar dat niet hoort.

Gerichte aanval wordt voorbereid en uitgevoerd op verschillende fronten (technisch\sociaal\direc\indirect) tot dat er een opening is(kans) en vervolgens worden er nog meer lekken gemaakt als men eenmaal binnen is. VM of geen VM eenmaal binnen is binnen en een VM of fysiek doet hier niets aan.

Brummetje

@Verwijderd • 23 mei 2016 13:15

VM's werken natuurlijk niet.. Want daar willen ze ook mee op internet en bij hun data. Dus dat helpt natuurlijk helemaal niet dan. VM heeft natuurlijk ook niks met veiligheid te maken en geeft alleen maar schijnveiligheid.

Unipuma @Brummetje • 23 mei 2016 13:25

In theorie is een VM een sandbox. Als zodanig dus veiliger dan native.
Het gaat pas mis als je interfaces naar die sandbox open gaat zetten, bijvoorbeeld op SMB protocol, of op hetzelfde netwerk als de host machine.

josipbroz @Unipuma • 23 mei 2016 13:37

Ik snap wel waar jij op doelt(denkwijze), maar VM en Sandbox 1:1 met elkaar vergelijken is appels en peren.VM is een middel en sandbox een manier.
VM kan een sandbox zijn als jij ervoor kiest. Ik denk dat verkeerde opvattingen over virtualisatie tot verkeerde conclusie kunnen leiden doordat het met iets anders geasocieerd wordt wat een herkenbare relatie heeft met elkaar (VM-sadbox-test-virtualisatie).
VM's worden in publiek toegankelijke productie omgevingen gebruikt. Grote bedrijven zijn al lang vergeten dat en fysieke machines bestaan omdat tegenwoordig bijna alles gevirtualiseerd wordt.
In een grote bedrijf zou een Testomgeving gezien kunnen worden als een sandbox, maar uiteindelijk moet een definitief product uiteindelijk ook virtueel komen te draaien.

[Reactie gewijzigd door josipbroz op 23 juli 2024 19:58]

Bluechargertk @Verwijderd • 23 mei 2016 13:12

Het probleem is ook dat veel bedrijven denken "Het zal wel niet bij mij gebeuren" en ja alles heeft een kostprijs, maar ze zien niet in dat iedereen gehacked kan worden ...

Soldaatje @Bluechargertk • 23 mei 2016 13:19

Uiteindelijk komt het neer op hoeveel geld er besteed wordt aan beveiliging.
Dat is een keuze die indirect door de burger gemaakt wordt, politiek gezien.
Je kan je bijvoorbeeld ook voor alles en nog wat verzekeren, soms verplicht soms niet, of je het nou ooit nodig gaat hebben of niet.

cobis taba @Verwijderd • 23 mei 2016 13:46

Ook een virtuele machine gaat je niet voldoende helpen. Je zult je bedrijfskritische data echt 100% van internet moeten houden en goede alluhoedjes (in dit geval positief bedoeld) moeten aannemen om dat veilig te kunnen doen. Wijs aan welke data en welke machines echt kritiek zijn.* Bij die dingen maak je geen enkel compromis op veiligheid. Hoe onhandig en onpraktisch ook, als het veiliger kan dan doe je het. Met die mentaliteit heb je een kans.

*dit dus ook echt alleen doen bij dingen die ECHT kritiek zijn... doe je dit te breed, dan heeft het geen enkele zin want wordt het totaal onwerkbaar.

E2max @Verwijderd • 23 mei 2016 14:05

*Zucht* Wat een statement weer. Tja het westen lijkt het meeste last te hebben van bedrijfsspionage maar ik gok dat de meeste bedrijven die internet gebruiken ook in het westen staan. Dat wil nog niet zeggen dat door het westen het internet lek wordt. En al helemaal niet dat onze geheimen gewoon weg lekken.

Blokker_1999

Malware
Netwerk en systeembeheer
Security

@Verwijderd • 23 mei 2016 17:42

Je moet keuzes maken. Ofwel kies je voor een zeer veilig systeem, maar dat betekend dan wel dat je zeer inefficient zult moeten werken, ofwel kies je voor een zeer efficient systeem met de nodige risico's of je gaat een compromis zoeken tussen de twee.

En zelfs van systemen die volledig offline staan is het mogelijk om data te stelen of om er malware op te zetten. Of zijn we stuxnet al weer vergeten?

erwin26 23 mei 2016 13:34

"Het onderzoek biedt geen inzicht in de aard van de buitgemaakte gegevens, alleen in de hoeveelheid. Bovendien kunnen dezelfde gegevens meer dan eens zijn verstuurd, waardoor het totaal oploopt. Ook maken verzoeken naar de command and control-servers deel uit van de 23GB. De Zwitserse overheid laat weten dat er geen persoonlijke gegevens zijn gestolen. Eerder werd vermoed dat zowel gegevens van Zwitserse ambtenaren als van de speciale eenheid AAD 10 waren buitgemaakt. In Nederland leidde het incident tot kamervragen."

Ze weten niet welke gegevens gestolen zijn, maar ze weten wel zeker dat er geen persoons gegevens gestolen zijn. Iets klopt hier niet.

THA_ErAsEr @erwin26 • 23 mei 2016 15:10

Eerste reactie bij zo'n zaken is altijd 'er zijn geen persoons gegevens gestolen'. Dan enkele maanden/jaren later: 'Woops, we were wrong. Wat maakt het nog uit'

erwin26 @THA_ErAsEr • 23 mei 2016 15:13

Die gevallen zijn inderdaad vaak voorgekomen. Ik vond ook al dat ze heel snel weten dat er geen persoonsgegevens zijn gestolen.

CivLord

@erwin26 • 23 mei 2016 14:48

Ze weten niet welke gegevens gestolen zijn, maar ze weten wel zeker dat er geen persoons gegevens gestolen zijn. Iets klopt hier niet.

Het ligt er maar net aan welke gegevens via de getroffen systemen benaderbaar waren. Wanneer op deze systemen alleen de technische informatie beschikbaar was en de persoonsgegevens op een volkomen gescheiden systeem stond, dan is er niets vreemds aan.

erwin26 @CivLord • 23 mei 2016 14:56

Daar heb je gelijk in dan is er niks vreemds aan. Waarschijnlijk zal dit ook wel het geval zijn.

Kalief 23 mei 2016 13:31

Er valt niks te zeggen over de aard en de impact van de datadiefstal als alleen bekend is dat het om 23 GB ging. Het kan dan net zo goed om een filmpje van een bedrijfsfeestje gaan.

Rob Coops @Kalief • 23 mei 2016 14:34

Das waar maar toch heb ik het vermoeden gezien de werk wijze en de rest van de beschrijving dat het de aanvallers niet om die ene secretaresse met dat leuke mini rokje te doen was...

Om te beginnen is het een aanval op een overheidsbedrijf daar naast een defensie bedrijf en zijn de aanvallers erg voorzichtig geweest met het binnen dringen van het netwerk eerst eens goed rond kijken wat andere mogelijke doelen zijn en dan de volgende horde slechten om zo uiteindelijk het doel (wat dat ook geweest mag zijn, zullen we waarschijnlijk nooit te horen krijgen) te bereiken en de data het netwerk uit te sluizen.

Ondanks dat het mogelijk is dat het hier om een kwajongens streek gaat en men alleen wat nutteloze oude PDF's heeft bemachtigt of zo als jij voorstelt een filmpje van een bedrijfsfeestje vermoed ik toch dat het om iets anders gaat hier.

moozzuzz @Rob Coops • 23 mei 2016 15:13

Het punt van Kalief is dat het nieuwsbericht niets toevoegt bovenop het feit dat 23GB aan data over en weer gegaan is tussen het bedrijfsnetwerk en de C&C.

Rob Coops @moozzuzz • 23 mei 2016 16:48

Dan zou ik toch nog maar eens goed lezen want de beschrijving van de werkwijze, de software gebruikt de manier van het zo lang mogelijk ongedetecteerd blijven, de hoeveelheid data 23GB toch niet onaanzienlijk zeker als je weet dat een beetje command & control server vrijwel geen data verstuurd of ontvangt tijdens de normale operatie etc zijn allemaal toch echt nieuwswaardig volgens zo wel de bronnen als de mensen binnen tweakers die bepalen wat wel en niet vermeld wordt.

Dat jij het eventueel niet interessant vind is een ander verhaal maar dat neemt niet weg dat het zeker wel nieuwswaardig is.
Ik neem aan dat een van de redenen dat men niet wil melden wat er buitgemaakt is simpel weg gebaseerd is op het idee dat als de dief niet weet wat hij/zij in handen heeft de kans op misbruik/gebruik een stukje kleiner is. Ook zou het nog wel eens een probleem kunnen zijn voor defensie in Zwitserland als men publiekelijk bekent maakt welke data buitgemaakt is omdat het bestaan van die data binnen dit bedrijf onderzoek dan wel plannen daartoe kan onthullen die men liever niet naar buiten brengt.

Verwijderd 23 mei 2016 15:00

Het grotere probleem is dat te veel "security" mensen denken dat federated security werkt: ze gaan alles monolithisch oplossen. Dé security is hun groot kasteel. Dat kasteel heeft dikke en hoge muren. En alle security gaat van de federale oplossing uit: hét grote kasteel met dé dikke en dé hoge muren is hét security model.

De juiste vorm van security is dat iedere actor zichzelf verdedigt en competent is zichzelf te verdedigen. M.a.w. is iedere server, is iedere client, is iedere gebruiker en is iedere opslagéénheid individueel verdedigd. Maar ook is ieder onderdeeltje-informatie afgeschermd en wordt de toegang toegekend op een 'need to know' basis.

Nochtans zou je denken dat het laatste logisch is in informatica. Want het dupliceren van verdedigingsmechanismen is een zaak van een kopie maken van wat er al is. En laten computers en informaticasystemen nu héél snel kopieeen kunnen maken.

Dat je een kasteel of een gebouw of een gebied federaal verdedigt uit kostenoverweging snap ik: het is te duur om voor iedere ambachter en ieder oud vrouwtje een stevige woning te bouwen met hoge en dikke muren. Maar zelfs in oorlogstijd blijken alle federale beveiligingsstructuren steeds maar weer te falen.Het Belgische Fort Eben-Emael toonde dat netjes aan. Dat was een groot ondergronds "oninneembaar" kasteel. Een gigantische blob monolitisch duur verdedigingswerk. Ongezien groots voor die tijd. En de Duiters hadden het uitgeschakeld in 15 minuten door middel van een drietal zweefvliegtuigen waar zo'n 15 parachutisten in zaten: landen op het dak, springstof plaatsen op de koepels en de in en uitgangen innemen. En daarna wachten tot de soldaten er vanzelf uit hongersnood uitkwamen.

Federale monolitische security werkt niet. Niet in het echt, en niet voor computers. Wat je moet beveiligen zijn de endpoints. Allemaal, en individueel.

Al de rest is securitytheater en/of iemand zijn carriereplan (om onmisbaar te lijken).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: