Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Duitsland waarschuwt bedrijven voor grotere schade NotPetya vanwege backdoor

Door , 24 reacties

Het Duitse BSI heeft een waarschuwing voor bedrijven gepubliceerd nadat deze week gebleken was dat er via de Oekraïense boekhoudsoftware MeDoc toegang was tot de systemen van klanten. De organisatie stelt dat de 'dreiging groter is dan verwacht'.

Het Bundesamt für Sicherheit in der Informationstechnik meldt vrijdag dat gegevens en back-ups van bedrijven die de MeDoc-software gebruiken na 13 april als uitgelekt moeten worden beschouwd. Dat zou ook het geval zijn als de bedrijven geen schade ondervonden doordat de malware systemen ontoegankelijk maakte. Beveiligingsbedrijf ESET stelde eerder vast dat er sinds 14 april backdoors zaten in updates van de MeDoc-software, waardoor de aanvallers toegang hadden tot besmette systemen. Het BSI schat dit als 'plausibel' in en zegt dat de schade die daardoor ontstaat, potentieel net zo hoog is als die door verloren gegevens.

Zo hebben in Duitsland nog verschillende bedrijven last van de gebeurtenissen van afgelopen week, stelt BSI-voorzitter Arne Schönbohm, bijvoorbeeld doordat de productie of andere kritieke bedrijfsprocessen sinds meer dan een week stilliggen. "Hier ontstaat miljoenenschade door een ict-incident waarbij Duitsland in feite met een blauw oog is weggekomen", aldus Schönbohm. Het BSI roept op om getroffen systemen nieuw in te richten en maatregelen te nemen als netwerksegmentatie, het wijzigen van wachtwoorden en het in kaart brengen van toegekende beheerdersrechten. NotPetya kon zich door dit soort fouten snel via interne bedrijfsnetwerken verspreiden.

Het Rotterdamse bedrijf APM Terminals laat vrijdag weten dat de terminal op Maasvlakte 2 weer operationeel is. Het afhandelen van treinen moet echter nog langer op zich laten wachten. Een woordvoerder van het bedrijf zegt tegen RTL dat 'er behoorlijk wat nieuwe equipment naar binnen is gedragen'. Dat zou sneller gaan dan het onderzoeken en opschonen van de getroffen systemen. Het grootste deel van de computers van het bedrijf zou echter na onderzoek weer hersteld zijn. Het eveneens getroffen TNT meldt dat er voortgang wordt geboekt bij het online brengen van diensten en kritieke systemen.

Door Sander van Voorst

Nieuwsredacteur

07-07-2017 • 17:43

24 Linkedin Google+

Reacties (24)

Wijzig sortering
Mogen we dus concluderen dat het NotPetya virus is gebruikt als 'drager' van de daadwerkelijke (onzichtbare) aanval, misschien wel zelfs zonder medeweten van de ontwikkelaars van het oorspronkelijke virus?
Het zou mij absoluut niets verbazen als we niet eens over een aanval hoeven praten (of verdediging).

Als er administratie gelekt is, is dat cruciale informatie over een bedrijf. Afhankelijk van hoeveel informatie in het systeem stond, kan je met een beetje accountant zien en/of voorspellen hoe een gelekte administratie dit jaar wordt afgesloten.

Je kan dan een short of long inzetten op verschillende grote beurzen op, bijvoorbeeld, Maersk en als je analyse van de cijfers blijkt te kloppen, is het niet ondenkbaar dat men miljoenen, zo niet miljarden, kan verdienen. En dan te bedenken dat de betaalde losgelden van anderhalve week geleden net aan een paar duizend Euro was (in Bitcoin).

En als financiele toezichthouders zoals de SEC tussen april en nu geen rare/opmerkelijke transacties hebben gedetecteerd, is er dus zeker een mogelijkheid dat een (criminele) organisatie met voorkennis handelt op de NYSE of NASDAQ.
Dus nu hebben we een software gehad die door vrij veel bedrijven gebruikt wordt. Waardoor het een doelwit werd om backdoors voor en in te ontwikkelen. M.a.w. heel veel spelers die identiek dezelfde software gebruiken. Uiteraard maakte men bij MeDoc waanzinnig zware fouten zoals hun binaries niet cryptografisch verifieeren (iets wat iedere slechte en goede package manager standaard doet, maar wedden dat het weer een not-invented-here eigen formaat van dat bedrijf zal geweest zijn. Uitgevonden door pietjepluk de grote programmeerheld die geen snars van wat er voorhanden is begrijpt maar zijn eigen oplossingen ge-wel-dig vindt).

Het wordt allemaal nog veel veel leuker de komende jaren:

We gaan cloud diensten krijgen die de hele zaak veel gecentralizeerder hebben, die ook doelwit zijn en/of gaan worden van gelijkaardige aanvallen. Hierbij zal de schade, gezien de aard van een gecentralizeerd systeem, aanzienlijk groter zijn, de lekken onmiddellijker en grootser en de sociale impact veel enormer.

Ik zal niet verschieten van nieuwsberichten zoals "hacker legt helft van Amazon cloud plat waardoor aandelen van {insert 200 grote miltinationals hun namen} in elkaar storten".

Maarja, de "computerindustrie" heeft besloten dat gecentralizeerd beter is. Want goedkoper is gelijk aan beter. He?
Maarja, de "computerindustrie" heeft besloten dat gecentralizeerd beter is. Want goedkoper is gelijk aan beter. He?
Feit is dat een document op Dropbox, Onedrive, Google Drive etc op dit moment vele malen beter beveiligd is dan op de computer waar je je bericht op getypt hebt. Ik heb geen idee wat je OS is maar ik weet wel dat Google, DropBox en Google een bijna perfecte reputatie hebben op dit terrein.

Als jij denkt dat je documenten veilig zijn op je eigen disk is dat prima. Miljoenen mensen denken dat.
Totdat er iemand een virus weet binnen te krijgen in zo'n mega datacenter.

Nee zeg nou niet dat dat niet kan....
En zeg ook niet oh die zetten toch in no time hun backup terug want de huidige virussen zijn al gluiperig genoeg geschreven om sneaky je nasje te vinden op je thuisnetwerkje laat staan wat voor (PIEP)streken er nog aankomen.
Wie had er tig jaar geleden verwacht dat Maersk dagenlang out of business zou zijn door zo'n virus?

40 jaar geleden kon ik nog wel lachen om het Cookiemonster op mijn VT-100 terminal.
Dat lachen is nu wel vergaan.

[Reactie gewijzigd door Vintage Freak op 7 juli 2017 20:44]

In het ergste geval krijgt men zo'n virus in een DC van Google/FB/MS/...
Dan valt dat DC er uit, nemen een van de talloze anderen het over alsof er niks aan de hand is.
En ga er maar vanuit dat dergelijke DC's een gigantische backup setup hebben, dat vergelijken met een NASje met verouderde firmware gaat natuurlijk niet ;)
Mocht dat virus dan op een of andere manier dat hele DC 'wipen', dan zou in het ergste geval een tape/offline backup terug gezet moeten worden wat enkele uren downtime betekent.
Tegelijk worden alle andere DC's nog strenger bekeken dan normaal al gebeurt zodat een verdere uitbraak niet gebeurt.
Daar worden hele goede teams op gezet, om daar maar even tegen te gaan als hacker...
Dat soort DC's gebruiken hun eigen hardware, eigen CPU ontwerpen zelfs en eigen OS...
Ja ik mag toch hopen dat ze daar een telefoontje uit 0044 niet aannemen....

"your windows is not safe" :+
Da's gewoon een 06 tegenwoordig...
Wat ik zie gebeuren is dat op termijn er meerdere van die DC aanbieders zullen komen, die meerdere soorten prijzen hebben. Lagere prijzen zal onmiskenbaar betekenen lagere kosten. Lagere kosten zal vaak betekenen lagere kwaliteit van dat personeel.

Tot dat er van die DCs zijn die het allemaal niet juist doen. Zelfs helemaal fout. Aangezien in eerste instantie het allemaal op het zelfde zal lijken, zullen er veel bedrijven zijn die klant worden bij de goedkoopste DC. Bij zo één zal het ooit eens helemaal fout lopen. En dan ... tja.

Dan zou je zeggen: alleen minder belangrijke bedrijven zullen dat doen? Welja, dat zeiden ze vroeger ook wanneer het over security allerhande ging. En kijk nu: massa's bedrijven die hun security niet op orde hebben. Vermoedelijk omdat het goedkoper was om de gok te wagen.

Waarom zal dat over enkele jaren niet met zulke DCs zijn? Ik weet het niet. Dus het zal vermoedelijk zo lopen. Alles moet altijd goedkoper, zodat er meer winst is. Zo werkt onze economie voor bedrijven. En dat tot het niet meer goed genoeg is. Een beetje Peters Principle maar dan voor alle kosten van een bedrijf: alle leveranciers zullen zo goedkoop worden tot ze niet meer bekwaam zijn te leveren wat er moet geleverd worden. Dan pas houden ze op leverancier te worden. M.a.w. is iedere leverancier niet meer bekwaam te leveren. Die data centers horen daar gewoon bij.
De eerste keer dat ik er niet meer mee kon lachen was toen mijn BIOS overschreven was door CIH. Mijne computermaat van toen had dat op zijn disketjes staan, blijkbaar. Kaspersky heeft me toen gered van ne papa die heel erg boos zou geweest zijn :-)

Het was wel het begin van mijn carriere om iets verder te gaan in het begrijpen van hoe alles van "diene computer van ons-vader" werkt, dan enkel gewoon wat programmeren in Turbo Pascal. Dus ergens toch bedankt daarvoor, CIH. Met vallen en opstaan leer je het meeste.
CIH.... grinnik

Ik had een epromprogrammer en mijn overbuurman was Vobis en,,,

affijn
stilzwijgend hadden we een leuke deal (alle spellen kopieren uit hun winkel)
hmmmm is verjaard nou.....ja...pff...
Tuurlijk het kan, maar het zal moeilijker zijn dan een virus binnenkrijgen bij een boekhoudsoftware bedrijfje. Daarnaast, een NAS kan een virus opzoeken inderdaad, een compleet afgezonderde backup echter niet, en ik heb zo'n vermoeden dat bedrijven als Amazon, Microsoft, Dropbox en Google deze ook zullen hebben, aangezien beveiliging eigenlijk een beetje gezien zou kunnen worden als hun core business. (klopt, niet in de letterlijkste zin van het woord, maar ze doen vele malen meer aan beveiliging dan een Maersk)
Memories! Wat een evolutie als ik daaraan terug denk.
Ik twijfel er niet aan dat het nu veiliger is. Ik twijfel er aan dat de gecentralizeerde aard er van een goed idee is.
Die reputatie is ook maar een perceptie van de werkelijkheid... tis maar de vraag of dat soort partijen daadwerkelijk nergens "last" van hebben gehad. Al was het maar omdat ze niet alleen veel geld uitgeven aan ijzer en beveiliging, maar ook veel geld uit geven (misschien nog wel meer) aan perceptie management. :)
APM1 is volledig operationeel, staat ook op de link in het artikel, APM2 heeft inmiddels 6 kranen aan.
APM 1 is nog steeds gesloten, en 2 draait op kwart kracht staan maar drie kranen aan.
Damn, dat levert dus naast alle geleden schade ook nogal wat administratieve rompslomp op. Nu "gelukkig" alleen nog maar de meldplicht datalekken waarbij er nog geen mega-drastische maatregelen genomen worden in praktijk, maar als straks GDPR van kracht is worden dit soort dingen echt een nachtmerrie....
Lekker op tijd die melding...
Best wel ja, aangezien die backdoors pas 3 dagen geleden zijn ontdekt, na analyse van de updates van MeDoc.

Dat kon je hier lezen, de link staat overigens ook in het artikel.

[Reactie gewijzigd door tc-t op 7 juli 2017 17:54]

Tjah, had waarschijnlijk helemaal niet zo ver gekomen als de overheden en diensten dit soort zaken melden bij de producent - maar daarmee verliezen ze eventuele privileges en services.
Had ik de lotto cijfers van vorige week op tijd geweten had ik ook een winnend formulier kunnen invullen.

De BSI reageerd nu omdat nu pas naar buiten komt dat deze backdoor bestaat en hoe lang deze vermoedelijk al bestaat. Ik ben blij dat je in D een dienst hebt die zich met dit soort informatieverspreiding bezighoudt. Is iets waar wat meer landen aandacht aan zouden mogen besteden.
De backdoors zaten in de updates van MeDoc, de BSI controleert die updates niet. Wat zij wel doen is Petya (en aanverwanten) onderzoeken, waaronder de gevolgen ervan.

De gevolgen kwamen 3 maanden later aan het licht. Voor die tijd hadden alleen de makers van Petya door wat er speelde. MeDoc had dit ook kunnen (moeten?) weten maar ja...
De backdoors zaten in verschillende backdoors, niet allemaal.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*