Crimineel bood gestolen handleiding aan van door Nederland te gebruiken drone

Een crimineel bood gevoelige documenten van de Amerikaanse MQ-9 Reaper-drone, die ook door Nederland zal worden ingezet, aan op een ondergrondse marktplaats. De diefstal van de documenten verliep via een kwetsbaarheid in een Netgear-router.

De crimineel wist met behulp van de onlangs bekendgemaakte ftp-kwetsbaarheid in Netgear-routers binnen te dringen bij een computer van een militair van een Amerikaanse Aircraft Maintenance Unit die verantwoordelijk is voor het onderhoud van de MQ-9 Reaper. Onder de gestolen documenten waren onderhoudshandleidingen en lijsten van personen die deel uitmaken van de eenheid. Het gaat niet zozeer om geheime documenten, maar wel om gevoelig materiaal dat interessant kan zijn voor mogendheden, schrijft beveiligingsbedrijf Recorded Future, dat contact legde met de crimineel.

Die bood de documenten voor tweehonderd dollar aan op het darknet. Op een later moment probeerde hij meer gevoelige documenten te slijten, waaronder onderhoudsdocumenten van M1 Abrams-tanks. Hij vertelde Recorded Future ook dat hij kon meekijken met beelden van een MQ-1 Predator-drone. Hij stuurde screenshots om dit te bewijzen.

Reaper onderhoud

De Netgear-kwetsbaarheid werd begin 2016 ontdekt en bestaat eruit dat de standaard inloggegevens via de webinterface uit inlognaam 'admin' en wachtwoord 'password' bestaan. Nog duizenden routers wereldwijd zouden op deze manier te benaderen zijn. Later in 2016 en begin 2017 werden overigens meer kwetsbaarheden in Netgear-routers gevonden.

De MQ-9 Reaper is een geavanceerde drone die in 2001 uitkwam en door onder andere de Amerikaanse defensie en grensbewaking, en door tal van andere landen wordt ingezet. Vorige maand maakte de Nederlandse overheid bekend vier MQ-9 Reaper-drones vanaf 2020 te willen inzetten voor missies.

MQ-9 Reaper

Reacties (48)

Jumpman 11 juli 2018 14:28

Computervrede breuk is natuurlijk strafbaar, maar ongelooflijk dat deze documenten zo maar rondslingeren.

Echter is dit steeds meer de manier hoe de oorlog (zeker in het westen) gevoerd wordt, kennis en beïnvloeden van mensen en middelen is macht en daar biedt het Internet een hele mooie mogelijkheid voor.

[Reactie gewijzigd door Jumpman op 23 juli 2024 00:35]

SkyStreaker @Jumpman • 12 juli 2018 16:03

Hoe kun je precies van "rondslingeren" spreken als er ingebroken is in je eigen domein waar een ieder zonder toestemming niks te zoeken heeft?

DF1eCH 11 juli 2018 13:39

Hoe komt een consumer grade netwerk device op een dergelijke .gov site terecht en dan ook nog verbonden met een .gov netwerk?

LOTG @DF1eCH • 11 juli 2018 13:44

Iemand die zijn eigen router heeft meegenomen naar het werk omdat hij met die vervelende policies niet zijn eigen iPad aan het netwerk kon hangen om Netflix te kijken?

Dit gebeurt volgens mij vrij vaak. Ik word ook regelmatig in mijn werk belemmert omdat we een apparaat aan het internet moeten hangen, maar het niet of niet goed via het (wifi) netwerk kan. Dan zullen sommige mensen ook naar de eerste de beste optie grijpen: routertje er bij.

[Reactie gewijzigd door LOTG op 23 juli 2024 00:35]

D3F @LOTG • 11 juli 2018 13:52

Van een netwerk zoals de (Amerikaanse) overheid, en zeker van defensie, mag je toch wel verwachten dat gebruik wordt gemaakt van onder andere MAC-authenticatie en protocollen zoals BPDUGuard.

Daarnaast betekend het aansluiten van zo'n router niet meteen dat je ook toegang hebt tot het www, want je moet toch ergens naar buiten, en dat is niet op de router die je zelf aansluit. Nu kan de hacker natuurlijk verbonden zijn met het netwerk van deze router terwijl hij aan het netwerk van de overheid hing, maar dat lijkt me niet aannemelijk.

Een scenario waarbij de router simpelweg bij iemand thuis geplaatst is stukken aannemelijker is.

[Reactie gewijzigd door D3F op 23 juli 2024 00:35]

DF1eCH @D3F • 11 juli 2018 13:59

Wat doet dergelijke documentatie bij iemand thuis dan? Zoiets is toch opgeslagen in een document management systeem oid

edit:typo

[Reactie gewijzigd door DF1eCH op 23 juli 2024 00:35]

D3F @DF1eCH • 11 juli 2018 14:14

Helemaal mee eens. Waarschijnlijk gekopieerd om thuis door te nemen. Gebeurd in menig bedrijf.

Je wilt niet weten wat sommige mensen op USB-sticks zetten in een gemiddeld bedrijf.

Van financiële gegevens tot hele klantenbestanden tot persoonsgevoelige HR-informatie.

Dnomyar96 @D3F • 12 juli 2018 13:51

Nou inderdaad. Waar ik werk had iemand een keer alle wachtwoorden (die bij hem bekend waren dan wel) in een .txt op een USB stick gezet... Ze in een .txt bestand zetten is al niet slim, maar deze dan ook nog naar een USB stick kopiëren?

MrMonkE @DF1eCH • 11 juli 2018 14:26

Zodat je als dat systeem down is niets kunt?
Lijkt me niet iets dat voor een krijgsmacht wenselijk is.

MrE @DF1eCH • 11 juli 2018 16:07

Onderschat nooit de macht van een eindgebruiker. Je kan nog zoveel zaken dichttimmeren, als de eindgebruiker er last van heeft en je als bedrijf in een leverancier/klant relatie zit dan kies je voor het geld en niet voor wat verstandig is.
Je laat de klant dan wel tekenen voor het risico maar doet wel wat de klant wil.

Ik merk dat hier in mijn organisatie ook. Alhoewel wij een ict organisatie zijn die vanuit de organisaties ontstaan zijn die we bedienen maken wij ook manoeuvres om de klant ter wille te zijn. Ook terwijl we weten dat die keuzes de werkbaarheid en de informatieveiligheid niet ten goede komt.

DF1eCH @LOTG • 11 juli 2018 13:57

Zoiets blokkeer je toch met acl's op dergelijke netwerken?

Geim @LOTG • 11 juli 2018 14:41

Dan hangt het routerje dus achter de firewall van het bedrijf en zul je daar eerst op moeten inbreken om bij het routertje te komen.
Overigens hebben de meeste systeembeheerders het nogal snel in de gaten als er ergens een rogue AP opduikt in “hun” netwerk.

logix147 @DF1eCH • 11 juli 2018 13:56

Je hebt er eindgebruikers bij zitten die gewoon hun eigen hardware aansluiten. Ik kom sinds kort weer op locaties en soms kom ik daar hardware tegen waarvan ik 100% zeker weet dat het niet door ons aangeschaft is, maar wel in de IT ruimte ligt. Nu zijn wij wel geen .gov bedrijf maar dit soort menselijk gedrag zal zo'n beetje overal wel hetzelfde zijn dat er dit soort slimmerds rondlopen. We hebben altijd 2 netwerken, 1 volledig in ons beheer en waar onze services op draaien en netwerk 2 wat "openbaar" is als zijnde dat iedereen daarop kan doen wat men wil, soort gast toegang. Men kan niet van netwerk 2 op netwerk 1 maar als men vanaf netwerk 1 data op netwerk 2 gaat zetten waar zo'n Netgear achter hangt bijv, tja.... dan is je beveiliging nog zo sterk als de zwakste schakel in je organisatie.

Dus wie zegt dat het van het beveiligde netwerk afkomt?

"De crimineel wist met behulp van de onlangs bekendgemaakte ftp-kwetsbaarheid in Netgear-routers binnen te dringen bij een computer van een militair van een Amerikaanse Aircraft Maintenance Unit die verantwoordelijk is voor het onderhoud van de MQ-9 Reaper" Dit kan ook bij Private Ryan thuis geweest zijn... om even iets te roepen

Hmmbob @DF1eCH • 11 juli 2018 14:48

Onwaarschijnlijk dat dit gebeurt is, niet in de laatste plaats omdat NIPR (het US DOD interne unclassified netwerk) zelf op veel locaties al in WiFi verbindingen voorziet. Ik vermoed een werklaptop aan een privé netwerk, zoals ik hierboven beschrijf.

cdwave @DF1eCH • 11 juli 2018 14:57

Dat is dan ook niet gebeurd.
De hacker heeft gewoon een portscan op port 21 gedaan en is bijvoorbeeld via een thuisnetwerk waarop een of andere kapitein zijn laptop had aangesloten aan de informatie gekomen.

CivLord

@DF1eCH • 11 juli 2018 18:37

Het was het thuisnetwerk van een onderhoudsmonteur:

De crimineel wist met behulp van de onlangs bekendgemaakte ftp-kwetsbaarheid in Netgear-routers binnen te dringen bij een computer van een militair van een Amerikaanse Aircraft Maintenance Unit die verantwoordelijk is voor het onderhoud van de MQ-9 Reaper.

DF1eCH @CivLord • 11 juli 2018 19:48

^{een computer van een militair van een Amerikaanse Aircraft Maintenance Unit}

is niet gelijk aan

^{een privé computer van een militair van een Amerikaanse Aircraft Maintenance Unit}

Dus waar baseer je op dat het een thuisnetwerk van een onderhoudsmonteur betreft ?

CivLord

@DF1eCH • 11 juli 2018 20:26

Het gaat over een computer van een militair. Wanneer het een werk computer zou zijn, zou het een computer van defensie zijn geweest. Ik heb een laptop 'van de zaak' en die laptop is ook van de zaak, niet van mij.

Daarnaast gaat het over een kwetsbaarheid van een consumentenrouter.

DF1eCH @CivLord • 11 juli 2018 22:07

Aannames zijn voor de aannemer is mijn motto maar ik kan me hier wel bij neerleggen en er vrede mee hebben

Xirt @DF1eCH • 11 juli 2018 13:45

Ik verbaas mij eigenlijk meer over het feit dat niemand dat ding geconfigureerd heeft: zelfs als consument zou je als eerste actie het wachtwoord moeten wijzigen. Dat gebeurt bij consumenten niet altijd, maar je zou mogen verwachten dat daar binnen dergelijke organisaties een beter proces voor is.

bluegoaindian @Xirt • 11 juli 2018 13:59

Ik verbaas mij eigenlijk meer over het feit dat niemand dat ding geconfigureerd heeft: zelfs als consument zou je als eerste actie het wachtwoord moeten wijzigen. Dat gebeurt bij consumenten niet altijd, maar je zou mogen verwachten dat daar binnen dergelijke organisaties een beter proces voor is.

gaat niet als de stroom eraf is geweest gaat hij weer op default...

.oisyn Moderator Devschuur® @bluegoaindian • 11 juli 2018 14:24

Nonsens

. Misschien na een hele lange tijd, als hij het opslaat in CMOS en de batterij is op.

[Reactie gewijzigd door .oisyn op 23 juli 2024 00:35]

.oisyn Moderator Devschuur® @bluegoaindian • 11 juli 2018 15:17

Je geeft dus eigenlijk gewoon toe dat het normaalgeproken gewoon wordt opgeslagen, en de instellingen blijven bestaan zelfs nadat de stroom eraf is geweest?

Als je niet weet hoe hardware werkt wat doe je op tweakers?

Ik weet prima hoe hardware werkt. Jij bent degene die een algemene stelling doet dat dat niet wordt opgeslagen, en nu ineens komt met dat dat niet gebeurt als er een bug is, waarvan de kans uiteraard nogal klein is.

[Reactie gewijzigd door .oisyn op 23 juli 2024 00:35]

mjtdevries @.oisyn • 11 juli 2018 17:38

in de eerste regels van het artikel staat:

"De diefstal van de documenten verliep via een kwetsbaarheid in een Netgear-router."

Dan had je kunnen bedenken dat bluegoaindian op een bug doelde en niet een algemeen stelling deed.

Als je daar overheen gelezen had, dan snap ik je eerste reactie. Maar een beetje flauw om daarna niet toe te geven dat je even te snel reageerde.

.oisyn Moderator Devschuur® @mjtdevries • 11 juli 2018 17:46

Ik weet van de kwetsbaarheden. Er staat me echter niets van bij dat een dergelijke kwetsbaarheid ervoor zorgt dat de instellingen niet worden opgeslagen na een power cycle, en dat vind ik ook niet terug in de aanverwante artikelen. Stel jij nou dat dat wel zo is?

Wat jij zegt is weldegelijk door mijn hoofd gegaan, vandaar dat ik de artikelen heb gecheckt waarnaar gelinkt wordt. Maar hieruit blijkt niet dat de Netgear routers een dergelijke bug bevatten. Misschien alsnog wel hoor, dan hoor ik het graag, maar omdat me er A. niets van bijstond en B. ik er verder ook niets over kon vinden dat dat het geval was, ging ik er vanuit dat dat niet is wat bluegoaindian bedoelde.

[Reactie gewijzigd door .oisyn op 23 juli 2024 00:35]

Christoxz @DF1eCH • 11 juli 2018 13:45

Er is nergens ingebroken op een website of verbinding gemaakt met een website.
Dat er FTP is gebruikt, betekent het niet gelijk dat er een website achter hangt.

De crimineel wist met behulp van de onlangs bekendgemaakte ftp-kwetsbaarheid in Netgear-routers binnen te dringen bij een computer van een militair van een Amerikaanse Aircraft Maintenance

DF1eCH @Verwijderd • 11 juli 2018 22:15

Helemaal niets maar dat is een aanname die jij doet. Staat nergens specifiek vermeld dat het thuis, thuisnetwerk, thuis pc was maar als ik me daar bij neerleg en erin mee ga heeft die vraag niks meer te maken met het artikel.

Helaas moeten we door de halve informatie in nieuwsartikelen voor aannemers spelen waardoor dit soort discussies ontstaan.

blijft de vraag staan wat doet deze militair met geheime overheidsdocumenten op een privé computer thuis?

op dit niveau als je zulke documenten moet bestuderen thuis krijg je apparatuur ter beschikking gesteld waarop je dat kunt doen veilig.

pauldaytona 11 juli 2018 13:46

medewerker die thuis die z'n werk laptop zo aan internet hing?

walteij @pauldaytona • 11 juli 2018 13:52

Dat lijkt mij eigenlijk de meest logische verklaring. Ministerie van defensive zal vast wel iets betere edge routers gebruiken dan customer-grade netgear routers.

InjecTioN

@walteij • 11 juli 2018 14:22

Het ministerie van defensie zou haar laptop's toch wel afgeschermd moeten hebben tegen netwerken buiten die van henzelf? Iets met het opzetten van een VPN, proxy via de servers van het Ministerie van Defensie, de rest muurvast achter een firewall, inloggen middels 2FA. Natuurlijk zullen er wel meerdere wegen naar Rome zijn, maar maak het dan op z'n minst moeilijk voor de hackende partij!

Bedrijfspolicy zou moeten zijn dat er netwerkapparatuur wordt geleverd vanuit het Ministerie van Defensie, plus bovenstaande.

Polydeukes @InjecTioN • 11 juli 2018 17:07

Daarmee voorkom je nog steeds niet dat gebruikers de regels overtreden door bijv iets naar buiten te mailen of op een usb stick te zetten om "thuis" te kunnen werken. In het artikel staat dat de documentatie niet geheim is, maar "slechts" vertrouwelijk. Dat mag in veel gevallen gewoon verwerkt worden op systemen die vrijheden zoals internettoegang of open usb poorten hebben.
En wat je technisch ook bedenkt om dingen af te schermen en dicht te zetten, er zijn altijd gebruikers die bewust de boel omzeilen omdat het nou eenmaal beperkingen oplegt. En dan heb ik het nog niet eens over spionage, ofwel het bewust lekken van informatie.

InjecTioN

@Polydeukes • 12 juli 2018 09:16

Dan bestaan er nog altijd de mogelijkheden om het nòg scherper af te stellen. Tenslotte hoef je zoiets als werkgever absoluut niet te tolereren. Een werkgever zou hier gewoon sancties voor op kunnen leggen, wat geheel terecht is imho. Men compromitteert een geheel netwerk van een bedrijf.

Polydeukes @InjecTioN • 13 juli 2018 11:30

Je begrijpt niet wat ik bedoel. Bij een organisatie zoals Defensie heb je typisch aparte netwerken om verschillende soorten gevoelige informatie te verwerken. Zo mag je op het laagst geclassificeerde netwerk, wat verbinding heeft met internet om bijv. mail naar buiten te kunnen sturen, gewoon informatie verwerken die alleen voor intern gebuik is. Staatsgeheimen worden doorgaans op een veel sterker beveiligd netwerk verwerkt en opgeslagen. In dit specifieke geval gaat het niet om staatsgeheimen maar om 'slechts' vertrouwelijke informatie. Dat mag je dus op het netwerk met de minste restricties verwerken. Natuurlijk zijn er spelregels, dat je vertrouwelijke informatie bijv niet naar buiten mag mailen of anderszins openbaar maken. Maar de mogelijkheid is er wel (anders wordt 't werken je onmogelijk gemaakt).
Reken er maar op dat deze medewerker een berisping, schorsing of mogelijk ontslag heeft gekregen voor het overtreden van de regels. Mijn punt is dat je dit niet kunt voorkomen, omdat gebruikers altijd de zwakste schakel in de veiligheidsketen zullen zijn en blijven.
Ik heb hier dagelijks mee te maken dus ik spreek uit ervaring.

Hmmbob @pauldaytona • 11 juli 2018 14:45

Dit inderdaad.

De Amerikaanse defensie maakt gebruik van het NIPR-netwerk, waarop desktops maar ook laptops gebruikt kunnen worden. Deze laptops kunnen ook mee naar huis / op reis, waarna ze eigenlijk te gebruiken zijn als een gewone, reguliere laptop. Enkel om gebruik te maken van connectiviteit met NIPR (zoals contact met de fileserver of je netwerkschijven, maar ook de e-mail) dient een VPN opgebouwd te worden. Je kan dus prima met je NIPR laptop verbinden met je thuisnetwerk (of ieder ander WiFi netwerk) om internet connectiviteit te hebben. De settings dwingen geen VPN verbinding af, wel is full disk encryptie standaard (al zal dat in deze case niet geholpen hebben). Met vertrouwt op de gebruiker en de gebruikerstraining voor het gebruik van een VPN ‘waar nodig’.

Most likely is dus dat deze bestanden lokaal op de werklaptop gestaan hebben, deze laptop aan een thuisnetwerk gehangen is en dat op die wijze deze bestanden onderschept zijn.

derkesthai @Hmmbob • 11 juli 2018 15:23

Dat klinkt inderdaad als een plausibele (en in mijn ogen voor de hand liggende) verklaring.

Of het is een defensie medewerker die al toegang had tot het netwerk via VPN. Kan me voorstellen dat ze dat nieuws niet naar buiten brengen. Gevalletje landverraad.

cdwave 11 juli 2018 14:45

Jeetje, wat een cryptische titel van het artikel zeg. Ik klikte erop om erachter te komen wat er nou aan de hand was. Ik dacht dat we de handleiding kwijt waren of zoiets.

Gewoon iets van "Crimineel bood gestolen handleiding aan van militaire drone" was een stuk helderder geweest. Wel minder sensationeel misschien omdat er geen Nederland in staat, maar da's ook terecht aangezien ze nog helemaal niet aangeschaft zijn.

S-Face 11 juli 2018 14:49

Belachelijk weinig geld als je het risico van vervolging er tegenover zet. Lijkt me veiliger om autoraampjes in te gaan tikken dan.

Of verkoopt deze crimineel duizenden van dit soort handleidingen?

Ook weer jammer dat ze hier weer de term hacker aan hangen trouwens, als een admin admin beveiliging 'doorbreken' hacken is dan kan ik ook een zwarte puntmuts op doen en mezelf hacker gaan noemen..

[Reactie gewijzigd door S-Face op 23 juli 2024 00:35]

emnich 11 juli 2018 15:55

Ik denk dat je er van uit moet gaan dat als zo'n 'hacker' deze documenten in handen heeft dat de Russen het al lang hebben.

De VS kan vaak niet hard lachen om dit soort acties. Dat je dit risico neemt voor 200 dollar

Op dit item kan niet meer gereageerd worden.

Crimineel bood gestolen handleiding aan van door Nederland te gebruiken drone

Lees meer

Reacties (48)

Sorteer op:

Weergave: