NOS: cyberaanvallers probeerden in te breken bij Air France-KLM

Luchtvaartmaatschappij Air France-KLM is slachtoffer geweest van een cyberaanval, meldt de NOS. De volledige impact van de aanval is nog niet duidelijk, al zouden er geen gegevens van klanten zijn buitgemaakt.

Anonieme bronnen zeggen tegen de NOS dat de aanval inmiddels voorbij lijkt te zijn en dat de systemen nu stabiel zijn. Het is niet duidelijk of de aanvallers data hebben buitgemaakt, wel moet personeel uit voorzorg een nieuw wachtwoord aanmaken. De aanval zou zijn begonnen bij de Nederlandse tak. Toen KLM extra beveiligingsmaatregelen nam, richtten de aanvallers zich op de Franse tak, schrijft het medium.

Air France-KLM heeft de cyberaanval nog niet bevestigd of ontkend. Tweakers heeft de luchtvaartmaatschappij vragen gesteld over de cyberaanval. De NOS zegt dat de aanvallers inlichtingen zouden willen verzamelen voor een eventuele vervolgaanval. Het onderzoek naar de aanval zou nog lopen.

Door Hayte Hugo

Redacteur

10-12-2020 • 19:50

47 Linkedin

Lees meer

Reacties (47)

Wijzig sortering
De inbraak was voor een klein gedeelte gelukt. Door goede segmentatie van de netwerken en goed rechtenbeheer is erger voorkomen.
Het is momenteel weer schering en inslag, er zijn geruchten over veel meer pogingen bij diverse grote bedrijven en instellingen.

Dus beheerders let op uw netwerk ;-)
Dit was afgelopen zondag al aan de hand. Een buurman die vliegt voor deze maatschappij kwam ik toevallig tegen die dag en hij zei dat ie aardige vertraging had ivm een cyberaanval op Air France-KLM. Hij zou in de ochtend terug mee vliegen op een vlucht als passagier, maar door die aanval kwam hij pas 8 uur later thuis.
Wat mij in dit nieuwsartikel het meest opvalt is wat er niet staat. Er staat niet dat de KLM is platgelegd, er staat niet dat er grootschalige problemen zijn, er staat niet dat er ransomware is geïnstalleerd, er staat niet dat backups zijn gecompromitteerd. Het zou zomaar kunnen dat KLM zijn zaakjes heel behoorlijk voor elkaar heeft en de schade daardoor meevalt. Wellicht niet perfect, maar goed genoeg om een catastrofe te voorkomen.
Is het zo makkelijk voor hackers om in te breken? Als de beveiliging op orde is(zoals bij tweakers.net?) is een hackpoging toch redelijk kansloos?
Bij Tweakers.net is de beveiliging vast ok, maar het is een beetje zoals met het slot op je voordeur. Dat is beter of slechter maar helemaal uitsluiten doe je een inbraak nooit. Zelfs met het beste slot hou je een inbreker misschien 5 minuutjes tegen.

Je moet het zo een beetje zien: er zijn tienduizenden accounts in het KLM systeem actief. Als één van die accounts een keer op een gekke link klikt kan het al gebeurt zijn. Vertrouw jouw Gerda van de administratie dat ze dat nooit zou doen?

[Reactie gewijzigd door Risce op 10 december 2020 20:36]

De zwakste schakel is meestal niet de beveiliging, maar de mens die het bediend.

Inderdaad je "gerda" of "piet" die toch bij de gegevens moet kunnen.

Nu veel mensen thuis werken is er op veel plaatsen allerlei zaken snel geregeld. Mogelijk met minder goede beveiliging. Dus ik snap het wel.
Bij goede beveiliging houd je juist rekening met Gerda of Piet die op een linkje klikken. Als je jezelf daarop voorbereidt kan je veel effectiever maatregelen nemen.
Hé zeg, waarom moet Piet er nu weer bij en zwart gemaakt worden? :D
Daarom is de PC van Gerda goed afgeschermd :)
Maar toch moet Gerda wel bij de bedrijfsresources. Dit is in een bepaalde mate is dit nooit af te schermen
En Gerda zal ook wel eens contact met de buitenwereld moeten hebben. Nu kan je natuurlijk 2 PC nemen, waarvan er 1 aan de buitenwereld hangt en de andere helemaal niet, en vervolgens dingen overtypen van het ene scherm naar het andere, maar dat is ook niet echt een werkbare oplossing. Grote kans dat mensen dan weer "handige" dingetjes verzinnen om het toch weer te koppelen.
Wanneer ik een pc van iemand op die manier over kan nemen, dan heb ik dezelfde rechten als die persoon. Al is het maar een simpele user en al is de pc goed afgeschermd, alleen het klikken op een linkje in de mail kan voldoende voor mij zijn om binnen te dringen.

Vanaf deze pc kan ik vervolgens het netwerk afscannen, kijken in de mailbox van Gerda met wie ze mailt. Mocht daar een systeembeheerder tussen zitten met de naam "Jaap", maar zij noemt hem altijd Japie, dan mail ik naar Japie vanaf haar mailadres en noem hem ook Japie. Ik vertel Japie dat ik zo'n grappige website gevonden heb die over Karpervissen gaat (ik zag in de mail van Gerda dat hij die hobby heeft).
Mocht Jaap op die link klikken, dan komt hij op een gekopieerde site die over Karpervissen gaat, maar deze is geïnfecteerd. Nu ben ik binnen op de computer van Jaap. Hij is een systeembeheerder. Mocht hij met zijn admin account zijn ingelogd (dom, dom, dom), dan heb ik al vertical privilege escalation uitgevoerd. Anders moet ik nog even kijken of hij op zijn pc sessies naar servers o.i.d. open heeft staan, etc. etc. etc.

Oftewel, al scherm je een pc goed af, er hoeft maar één gebruiker een verkeerde link aan te klikken en de aanval kan beginnen.
Dan is Jaap incapabel en moet Jaap ontslagen worden :P

EDIT: I know, achteraf.. Maar "gewone" gebruikers zouden op dat soort netwerken niet (of nauwelijks) van het openbare internet gebruik mogen maken. Jaap zou beter moeten weten en opent random websites niet op zijn terminal PC. Hij draait Linux machines en heeft javascript uitstaan op die terminal PC. Karperwebsites opent ie maar op zijn prive laptop of telefoon..

I know, makkelijk gezegd. Maar toch. Zijn een hoop levels aan beveiliging die hierbij zouden kunnen helpen.

[Reactie gewijzigd door RobjeDopje op 11 december 2020 12:51]

Tja. Je weet hoe dat gaat. Gebruikers. Ook beheerders zijn soms gewoon gebruikers. :D
Vervolgens wordt Gerda gebeld door een "sympathieke collega" met een vlotte babbel en heeft Gerda informatie prijsgegeven. Er trappen ontzettend veel mensen in phishing.
Dan kom je op het vlak van social engineering ;)
Phishing = Social engineering

Ik heb ze al zelfs zo gezien dat ze complete inlog portals van bedrijven hebben nagebouwd om maar O365 accounts te oogsten. Bijna niet van echt te onderscheiden.

De gebruiker krijgt een teams mail dat een collega (die er echt werkt) je heeft toegevoegd aan een channel of team en voila.

[Reactie gewijzigd door Skywalker27 op 11 december 2020 08:20]

Zo jullie zijn zeker van je zaak bij voor Tweakers. Ik weet zeker dat er genoeg te vinden is en je zal altijd compromissen moeten sluiten ten minste als alles echt goed voor elkaar hebt en dus risk driven bent. Want je hoeft niet op alle risico's bergen van mitigatie's toe te passen, dat kan ook niet want dat kost bergen met geld en gaat ook ten koste van gebruiksgemak. Het is dus altijd een afweging en alles begint dus met een risico inventarisatie. En dan heb ik het nog niet eens over 3rd party management.
Wijzig

En over het algemeen schrik ik me kapot wat ik aan tref bij leveranciers en dat zijn niet de kleinste bedrijven. En in het MKB is het helemaal feest.
makkelijk is relatief, en geen enkel systeem zal hackbestendig zijn, dus zijn pogingen per definitie nooit kansloos.

De gene die claimt dat ze onfeilbaar zijn zou ik hard van wegrennen.:P
Is het zo makkelijk voor hackers om in te breken? Als de beveiliging op orde is(zoals bij tweakers.net?) is een hackpoging toch redelijk kansloos?
Ehm, ik denk dat je het verschil tussen een techwebsite en een internationaal opererende luchtvaartmaatschappij onderschat. Je hebt hier te maken met 1. Personeelsleden (wereldwijd) die bij hun data moeten kunnen, 2. Een wereldwijde website met daaraan gekoppeld boekingssysteem (dat ook nog eens verweven is met dat van partners), 3. Een technische hub waar onderhoudsdata en andere technische gegevens van een complete vliegtuigvloot plus klanten en leveranciers gedeeld moeten kunnen worden en 4. dan ben ik vast nog lang niet compleet...
niks is waterdicht, zou voor de grap is in de CVE database kijken (Common Vulnerabilities and Exposures) hoeveel dingen er wel niet gevonden worden met kritieke exploits. Dat samen met de jaarlijkse berichten dat hacks vaak gebeuren doordat ze toegang hadden tot 1 systeem omdat 1 iemand die vergeten was en al 2 jaar geen updates heeft gehad is het snel over. Dit is nog losstaand van de gevraarlijke gebruikers die elke mail blind openen.
Bij mij op het werk klagen ze wel is dat er soms dingen offline zijn, maar trek me er niks van aan, mij zullen ze nooit kunnen verwijten dat ik updates niet draai.

Was paar jaar terug is bij een klant waar me mond open viel, er waren 3 server ruimtes waarvan er 2 voor hun en 1 voor externe bedrijven die lokaal iets moesten hebben. Zijn woorden letterlijk toen die de deur opende "Ja kijk maar of je je systeem kan vinden, wij weten niet wat hier allemaal draait" en die ruimte was gevuld met een stuk of 300 rackservers/PC's waarvan sommige 10+ jaar oud. (er stonden er 2 zelfs nog aangesloten op een CRT monitor)
First point of entry is toch vaak phishing, waarbij er malware in een file wordt verstopt dmv een macro of eventueel ergens extern nog ophaalt, na het openen van een attachment of hyperlink.

Vanaf dat punt hangt het er volledig vanaf hoe het 1 en ander is ingericht en hoe het bijvoorbeeld ervoor staat m.b.t. patch management. Ongetwijfeld zal er ook bij Tweakers niet 100% op security zijn gefocust en zal er best ergens een bevinding op hun interne inrichting kunnen zijn. Een volledig tiering model, netwerk segmentatie (met fw rules), een fatsoenlijke firewall, een degelijk endpoint protection product (edr), een SIEM en evt SOAR en daarnaast ook een SoC met getrainde analisten timmert de boel goed dicht mits ook al deze schakels 100% correct zijn opgezet en dan mis ik zelfs nog het een en ander en al deze zaken kosten een klein fortuin waar veel bedrijven geen geld voor hebben aangezien het geen core business is.

Tl;dr iedere organisatie moet zich niet afvragen of ze worden gecompromitteerd, maar wanneer, ook Tweakers.
Een echte aanval / inbraak wordt gemiddeld pas een maand of 6 later opgemerkt... containment duurt dan nog wel een maandje erbij...

Dit klinkt een beetje als het kaliber scriptkiddie..
Op wat voor manier komt dat zo over volgens jou? Ik denk KLM dagdagelijks onder aanval ligt en dat het niveau scriptkiddie wel onder controle is.
Die eerste zin alleen al 8)7
Ik ben gpen en gcih.. luister dagelijks de stormcast.. toy met idee om
de oscp te doen for shits and giggles.. want werk verder niet in security.. maar weet wel een beetje waar dit over gaat..

cyberaanval in mainstream media is meestal niveau low orbit ion canon..
Een apt zal veel waarschijnlijker stealth zijn...

https://www.ibm.com/security/data-breach
Tja, ga er maar van uit dat 'cyberaanvallers' bij elke computer proberen binnen te dringen. Bij elk bedrijf, bij elke particulier.
Hoe komen ze binnen.
Titel en tekst zijn tegenstrijdig? Is het nu gelukt of niet?
Zover ik lees is er weinig meer bekend.
zelfde kan ik ook zeggen over de reacties hier. :)
Ja en? Wat heeft dat hier mee te maken? Overigens is niet gezegd dat hier een geheime dienst achterzat.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee