NOS: cyberaanvallers probeerden in te breken bij Air France-KLM

Luchtvaartmaatschappij Air France-KLM is slachtoffer geweest van een cyberaanval, meldt de NOS. De volledige impact van de aanval is nog niet duidelijk, al zouden er geen gegevens van klanten zijn buitgemaakt.

Anonieme bronnen zeggen tegen de NOS dat de aanval inmiddels voorbij lijkt te zijn en dat de systemen nu stabiel zijn. Het is niet duidelijk of de aanvallers data hebben buitgemaakt, wel moet personeel uit voorzorg een nieuw wachtwoord aanmaken. De aanval zou zijn begonnen bij de Nederlandse tak. Toen KLM extra beveiligingsmaatregelen nam, richtten de aanvallers zich op de Franse tak, schrijft het medium.

Air France-KLM heeft de cyberaanval nog niet bevestigd of ontkend. Tweakers heeft de luchtvaartmaatschappij vragen gesteld over de cyberaanval. De NOS zegt dat de aanvallers inlichtingen zouden willen verzamelen voor een eventuele vervolgaanval. Het onderzoek naar de aanval zou nog lopen.

Reacties (47)

mlohnen

10 december 2020 20:02

De inbraak was voor een klein gedeelte gelukt. Door goede segmentatie van de netwerken en goed rechtenbeheer is erger voorkomen.
Het is momenteel weer schering en inslag, er zijn geruchten over veel meer pogingen bij diverse grote bedrijven en instellingen.

Dus beheerders let op uw netwerk ;-)

console 10 december 2020 22:01

Dit was afgelopen zondag al aan de hand. Een buurman die vliegt voor deze maatschappij kwam ik toevallig tegen die dag en hij zei dat ie aardige vertraging had ivm een cyberaanval op Air France-KLM. Hij zou in de ochtend terug mee vliegen op een vlucht als passagier, maar door die aanval kwam hij pas 8 uur later thuis.

Tomatoman 11 december 2020 09:02

Wat mij in dit nieuwsartikel het meest opvalt is wat er niet staat. Er staat niet dat de KLM is platgelegd, er staat niet dat er grootschalige problemen zijn, er staat niet dat er ransomware is geïnstalleerd, er staat niet dat backups zijn gecompromitteerd. Het zou zomaar kunnen dat KLM zijn zaakjes heel behoorlijk voor elkaar heeft en de schade daardoor meevalt. Wellicht niet perfect, maar goed genoeg om een catastrofe te voorkomen.

pim 10 december 2020 20:06

Is het zo makkelijk voor hackers om in te breken? Als de beveiliging op orde is(zoals bij tweakers.net?) is een hackpoging toch redelijk kansloos?

Risce @pim • 10 december 2020 20:36

Bij Tweakers.net is de beveiliging vast ok, maar het is een beetje zoals met het slot op je voordeur. Dat is beter of slechter maar helemaal uitsluiten doe je een inbraak nooit. Zelfs met het beste slot hou je een inbreker misschien 5 minuutjes tegen.

Je moet het zo een beetje zien: er zijn tienduizenden accounts in het KLM systeem actief. Als één van die accounts een keer op een gekke link klikt kan het al gebeurt zijn. Vertrouw jouw Gerda van de administratie dat ze dat nooit zou doen?

[Reactie gewijzigd door Risce op 23 juli 2024 13:02]

Kevinp @Risce • 10 december 2020 22:19

De zwakste schakel is meestal niet de beveiliging, maar de mens die het bediend.

Inderdaad je "gerda" of "piet" die toch bij de gegevens moet kunnen.

Nu veel mensen thuis werken is er op veel plaatsen allerlei zaken snel geregeld. Mogelijk met minder goede beveiliging. Dus ik snap het wel.

BytePhantomX @Kevinp • 11 december 2020 09:18

Bij goede beveiliging houd je juist rekening met Gerda of Piet die op een linkje klikken. Als je jezelf daarop voorbereidt kan je veel effectiever maatregelen nemen.

Derugash @Kevinp • 11 december 2020 10:46

Hé zeg, waarom moet Piet er nu weer bij en zwart gemaakt worden?

RobjeDopje @Risce • 10 december 2020 20:53

Daarom is de PC van Gerda goed afgeschermd

ExilaaHH @RobjeDopje • 10 december 2020 21:23

Maar toch moet Gerda wel bij de bedrijfsresources. Dit is in een bepaalde mate is dit nooit af te schermen

K-aroq @ExilaaHH • 10 december 2020 22:23

En Gerda zal ook wel eens contact met de buitenwereld moeten hebben. Nu kan je natuurlijk 2 PC nemen, waarvan er 1 aan de buitenwereld hangt en de andere helemaal niet, en vervolgens dingen overtypen van het ene scherm naar het andere, maar dat is ook niet echt een werkbare oplossing. Grote kans dat mensen dan weer "handige" dingetjes verzinnen om het toch weer te koppelen.

musiman

@RobjeDopje • 11 december 2020 09:19

Wanneer ik een pc van iemand op die manier over kan nemen, dan heb ik dezelfde rechten als die persoon. Al is het maar een simpele user en al is de pc goed afgeschermd, alleen het klikken op een linkje in de mail kan voldoende voor mij zijn om binnen te dringen.

Vanaf deze pc kan ik vervolgens het netwerk afscannen, kijken in de mailbox van Gerda met wie ze mailt. Mocht daar een systeembeheerder tussen zitten met de naam "Jaap", maar zij noemt hem altijd Japie, dan mail ik naar Japie vanaf haar mailadres en noem hem ook Japie. Ik vertel Japie dat ik zo'n grappige website gevonden heb die over Karpervissen gaat (ik zag in de mail van Gerda dat hij die hobby heeft).
Mocht Jaap op die link klikken, dan komt hij op een gekopieerde site die over Karpervissen gaat, maar deze is geïnfecteerd. Nu ben ik binnen op de computer van Jaap. Hij is een systeembeheerder. Mocht hij met zijn admin account zijn ingelogd (dom, dom, dom), dan heb ik al vertical privilege escalation uitgevoerd. Anders moet ik nog even kijken of hij op zijn pc sessies naar servers o.i.d. open heeft staan, etc. etc. etc.

Oftewel, al scherm je een pc goed af, er hoeft maar één gebruiker een verkeerde link aan te klikken en de aanval kan beginnen.

RobjeDopje @musiman • 11 december 2020 12:48

Dan is Jaap incapabel en moet Jaap ontslagen worden

EDIT: I know, achteraf.. Maar "gewone" gebruikers zouden op dat soort netwerken niet (of nauwelijks) van het openbare internet gebruik mogen maken. Jaap zou beter moeten weten en opent random websites niet op zijn terminal PC. Hij draait Linux machines en heeft javascript uitstaan op die terminal PC. Karperwebsites opent ie maar op zijn prive laptop of telefoon..

I know, makkelijk gezegd. Maar toch. Zijn een hoop levels aan beveiliging die hierbij zouden kunnen helpen.

[Reactie gewijzigd door RobjeDopje op 23 juli 2024 13:02]

musiman

@RobjeDopje • 11 december 2020 13:32

Tja. Je weet hoe dat gaat. Gebruikers. Ook beheerders zijn soms gewoon gebruikers.

Verwijderd @RobjeDopje • 10 december 2020 23:56

Vervolgens wordt Gerda gebeld door een "sympathieke collega" met een vlotte babbel en heeft Gerda informatie prijsgegeven. Er trappen ontzettend veel mensen in phishing.

HooGLaNDeR

@Verwijderd • 11 december 2020 01:00

Dan kom je op het vlak van social engineering

Skywalker27 @HooGLaNDeR • 11 december 2020 08:17

Phishing = Social engineering

Ik heb ze al zelfs zo gezien dat ze complete inlog portals van bedrijven hebben nagebouwd om maar O365 accounts te oogsten. Bijna niet van echt te onderscheiden.

De gebruiker krijgt een teams mail dat een collega (die er echt werkt) je heeft toegevoegd aan een channel of team en voila.

[Reactie gewijzigd door Skywalker27 op 23 juli 2024 13:02]

Skywalker27 @Risce • 11 december 2020 08:16

Zo jullie zijn zeker van je zaak bij voor Tweakers. Ik weet zeker dat er genoeg te vinden is en je zal altijd compromissen moeten sluiten ten minste als alles echt goed voor elkaar hebt en dus risk driven bent. Want je hoeft niet op alle risico's bergen van mitigatie's toe te passen, dat kan ook niet want dat kost bergen met geld en gaat ook ten koste van gebruiksgemak. Het is dus altijd een afweging en alles begint dus met een risico inventarisatie. En dan heb ik het nog niet eens over 3rd party management.
Wijzig

En over het algemeen schrik ik me kapot wat ik aan tref bij leveranciers en dat zijn niet de kleinste bedrijven. En in het MKB is het helemaal feest.

dakka @pim • 10 december 2020 21:14

makkelijk is relatief, en geen enkel systeem zal hackbestendig zijn, dus zijn pogingen per definitie nooit kansloos.

De gene die claimt dat ze onfeilbaar zijn zou ik hard van wegrennen.:P

Arjan P @pim • 10 december 2020 23:25

Is het zo makkelijk voor hackers om in te breken? Als de beveiliging op orde is(zoals bij tweakers.net?) is een hackpoging toch redelijk kansloos?

Ehm, ik denk dat je het verschil tussen een techwebsite en een internationaal opererende luchtvaartmaatschappij onderschat. Je hebt hier te maken met 1. Personeelsleden (wereldwijd) die bij hun data moeten kunnen, 2. Een wereldwijde website met daaraan gekoppeld boekingssysteem (dat ook nog eens verweven is met dat van partners), 3. Een technische hub waar onderhoudsdata en andere technische gegevens van een complete vliegtuigvloot plus klanten en leveranciers gedeeld moeten kunnen worden en 4. dan ben ik vast nog lang niet compleet...

HADES2001 @pim • 11 december 2020 09:22

niks is waterdicht, zou voor de grap is in de CVE database kijken (Common Vulnerabilities and Exposures) hoeveel dingen er wel niet gevonden worden met kritieke exploits. Dat samen met de jaarlijkse berichten dat hacks vaak gebeuren doordat ze toegang hadden tot 1 systeem omdat 1 iemand die vergeten was en al 2 jaar geen updates heeft gehad is het snel over. Dit is nog losstaand van de gevraarlijke gebruikers die elke mail blind openen.
Bij mij op het werk klagen ze wel is dat er soms dingen offline zijn, maar trek me er niks van aan, mij zullen ze nooit kunnen verwijten dat ik updates niet draai.

Was paar jaar terug is bij een klant waar me mond open viel, er waren 3 server ruimtes waarvan er 2 voor hun en 1 voor externe bedrijven die lokaal iets moesten hebben. Zijn woorden letterlijk toen die de deur opende "Ja kijk maar of je je systeem kan vinden, wij weten niet wat hier allemaal draait" en die ruimte was gevuld met een stuk of 300 rackservers/PC's waarvan sommige 10+ jaar oud. (er stonden er 2 zelfs nog aangesloten op een CRT monitor)

Dillex @pim • 10 december 2020 22:38

First point of entry is toch vaak phishing, waarbij er malware in een file wordt verstopt dmv een macro of eventueel ergens extern nog ophaalt, na het openen van een attachment of hyperlink.

Vanaf dat punt hangt het er volledig vanaf hoe het 1 en ander is ingericht en hoe het bijvoorbeeld ervoor staat m.b.t. patch management. Ongetwijfeld zal er ook bij Tweakers niet 100% op security zijn gefocust en zal er best ergens een bevinding op hun interne inrichting kunnen zijn. Een volledig tiering model, netwerk segmentatie (met fw rules), een fatsoenlijke firewall, een degelijk endpoint protection product (edr), een SIEM en evt SOAR en daarnaast ook een SoC met getrainde analisten timmert de boel goed dicht mits ook al deze schakels 100% correct zijn opgezet en dan mis ik zelfs nog het een en ander en al deze zaken kosten een klein fortuin waar veel bedrijven geen geld voor hebben aangezien het geen core business is.

Tl;dr iedere organisatie moet zich niet afvragen of ze worden gecompromitteerd, maar wanneer, ook Tweakers.

jAnO! 10 december 2020 20:14

Een echte aanval / inbraak wordt gemiddeld pas een maand of 6 later opgemerkt... containment duurt dan nog wel een maandje erbij...

Dit klinkt een beetje als het kaliber scriptkiddie..

stijnos1991 @jAnO! • 10 december 2020 21:39

Op wat voor manier komt dat zo over volgens jou? Ik denk KLM dagdagelijks onder aanval ligt en dat het niveau scriptkiddie wel onder controle is.

Verwijderd @jAnO! • 11 december 2020 07:48

Die eerste zin alleen al

jAnO! @Verwijderd • 11 december 2020 20:25

Ik ben gpen en gcih.. luister dagelijks de stormcast.. toy met idee om
de oscp te doen for shits and giggles.. want werk verder niet in security.. maar weet wel een beetje waar dit over gaat..

cyberaanval in mainstream media is meestal niveau low orbit ion canon..
Een apt zal veel waarschijnlijker stealth zijn...

https://www.ibm.com/security/data-breach