Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware

De Amerikaanse defensieaannemer Sol Oriens is getroffen door ransomware. Het bedrijf werkt onder andere aan het nucleaire-wapenprogramma van de VS. Het bedrijf is getroffen door de REvil-ransomware, die ook data heeft gestolen van het bedrijf.

Het bedrijf zou in mei zijn geïnfecteerd, bevestigt een woordvoerder aan het Amerikaanse CNBC. Sol Oriens is getroffen door de REvil-ransomware, van een beruchte Russische ransomwarebende die de gijzelsoftware als malware-as-a-service aanbiedt. Sol Oriens is een bedrijf dat onder andere het Amerikaanse ministerie van Defensie begeleidt met het uitvoeren van het nucleaire programma, zoals het beheer van het arsenaal.

Bij de infectie zou ook data gestolen zijn van het bedrijf, bevestigt een woordvoerder. Het gaat onder andere om offertes aan de National Nuclear Safety Administration, beschrijvingen van recent onderzoek en ontwikkelingsprojecten van het bedrijf, en informatie over werknemers. Er zou geen staatsgeheime of vertrouwelijke informatie zijn gestolen, of data die voor onveiligheden kan zorgen. Wel zegt het bedrijf tegen CNBC dat het nog samenwerkt met een externe partij om de volledige omvang van het lek te onderzoeken. De aanvallers zouden inmiddels dreigen de informatie openbaar te maken als het bedrijf niet betaalt.

Reacties (81)

CamelKnight 15 juni 2021 09:52

Waarom zit zo'n bedrijf uberhaupt aan het Internet gekoppeld? Het lijkt me dat je dergelijke systemen zoveel mogelijk offline wil bewaren, juist om dit soort gevaren te voorkomen.
Dat een deel van je organisatie online is, is begrijpelijk. Mail is tegenwoordig gemeengoed geworden. Maar de rest van je bedrijf plaats je toch offline als je zo'n bedrijf hebt?

nst6ldr @CamelKnight • 15 juni 2021 10:02

Let wel: er staat niet bij hoe het bedrijf is geraakt en welke netwerken zijn geraakt. Personeel kan ook zelf de ransomware naar binnen hebben gefietst (daarom is de combinatie LinkedIn en Facebook zo interessant voor hackers).

En het zou ook kunnen dat ze meerdere losse netwerken hebben en alleen het administratieve (online) deel te grazen is genomen. Hier zouden dan aanbestedingen en losse details kunnen staan die met cross referencing alsnog tot bruikbare informatie gecompileerd kunnen worden.

Edit: Nu ik een gedetailleerder artikel heb gelezen lijkt het laatste scenario het geval te zijn.

[Reactie gewijzigd door nst6ldr op 24 juli 2024 04:39]

sjettepetJR. @nst6ldr • 15 juni 2021 11:25

dit is wel een cruciale toevoeging vind ik. het bedrijf heeft dus blijkbaar wel de nodige moeite gedaan om hun belangrijkste systemen te beschermen. nog steeds slordig natuurlijk, maar wel een stuk minder ernstig.

Anoniem: 1322 @CamelKnight • 15 juni 2021 10:16

Waarom zit zo'n bedrijf uberhaupt aan het Internet gekoppeld?
Geen enkele organisatie werkt offline. Je kunt simpelweg geen email sturen of website bezoeken en daarmee, volgens velen, geen enkele moderne business draaien. Je kunt niet verwachten van een organisatie dat ze maar terug naar de middeleeuwen gaan en alles via de post moeten doen.

Maar de rest van je bedrijf plaats je toch offline als je zo'n bedrijf hebt?
Hun beveiliging is momenteel niet duidelijk dus dit kan nu al het geval zijn. Fysieke scheidingen zijn echter helemaal niet zo veilig als mensen denken want mensen blijven mensen....

Ik wil ook niet zeggen dat het onveilig is. Maar je kunt prima gevoelige data afscheiden met rechten of systemen in aparte netwerken draaien. Er is echter in dit geval nog niet voldoende informatie vrijgegeven om te insinueren dat ze onveilig werkten.

NoTechSupport @Anoniem: 1322 • 15 juni 2021 10:37

Er zijn zeker veiligheidsdiensten die offline werken.

Lodo @NoTechSupport • 15 juni 2021 10:44

Zeker, maar ook cruciale infrastructuur doet dit. Heb het zelf meegemaakt, laptop werd via een seriele verbinding verbonden aan een systeem om data uit te lezen en dergelijke.

Anoniem: 1322 @NoTechSupport • 15 juni 2021 17:37

Dus die zijn niet bereikbaar via de e-mail? Hoeven nooit iets op te zoeken op het web?

Mijn punt is dat er verschillende lagen in beveiliging zijn. Segmenten kan prima en er zullen binnen iedere organisatie mensen zijn die internet toegang hebben en krijgen.

Luppie @CamelKnight • 15 juni 2021 14:10

In het boek 'het is oorlog, maar niemand die het ziet' staan een paar mooie voorbeelden van hacks op systemen die offline (zouden) staan.
Mooi voorbeeld is de diginotar (CA) hack, waarbij een offline CA om praktische redenen door het eigen personeel via een crosslink kabel op een kantoor PC was aangesloten. Simpelweg, omdat iedere handeling op de CA alleen mogelijk was na diverse fysieke beveiligingen (sloten/deuren/pasjes/biometrie) te doorlopen. Dit werd ervaren als lastig, dus werd een simpele (ondoordachte) oplossing toegepast. De crosslink kabel.
Via een hack op het KA netwerk wist men toen de CA te hacken.
Ander voorbeeld is een offline nucleaire installatie in Iran. Ergens een USB met een payload naar binnen gewerkt en men had toegang.
Zodra beveiliging en/of procedures onpraktisch worden, of zo wordt ervaren, gaat de zwakste schakel in werking. De mens.

JumpStart 15 juni 2021 10:07

Wait, WHAT???

Een Amerikaanse defensieaannemer, die (onder andere) deelneemt aan het nucleaire wapens programma van de VS, die zou toch wel beter moeten weten qua "OpSec"? (Operational Security)

Als er een bedrijfstak zou moeten zijn dat alle stoppen trekt om veilig te zijn (2FA, compartimentalisatie, actieve monitoring, hardware keys, enzovoorts) dan is het de nucleaire wapenindustrie wel.

Dat een ziekenhuis, of een vleesverwerker, getroffen wordt, daar is nog iets bij voor te stellen. Dat een oliepijplijn getroffen wordt is al moeilijker te bevatten. Een "defence contractor" echter? Hoe dan???

Cavemen @JumpStart • 15 juni 2021 10:15

Ah je roept even wat termen en je lijkt dan slim, goede tactiek!

We weten niets over de opzet van het netwerk, welke scheidingen er zijn, welk deel getroffen is etc. We kunnen wel speculeren over de oorzaak of hoe het bedrijf zijn zaken niet op orde had, maar zonder meer informatie is dat vrij nutteloos.

JumpStart @Cavemen • 15 juni 2021 10:22

We hoeven niets te weten over de exacte details van dat netwerk: De industrie waarin ze actief zijn is een dusdanig gevoelige, op economisch gebied, op technisch gebied, en op nationale veiligheidsgebied, dat ze hoe dan ook compleet dichtgetimmerd zouden moeten zijn.

Dus, goed, dan even zonder de technische kreten (dankjewel voor het "slim lijken", erg vriendelijk): Hoe kan het dat zo'n bedrijf dit heeft laten kunnen gebeuren?

AMS76 @JumpStart • 15 juni 2021 11:17

Er bestaat niet zoiets als 100% dichtgetimmerd, tenzij je alle netwerkkabels uit je computers haalt en alle USB/overige connectivity-poorten afsluit en dichtkit. Je hebt dan een onwerkbaar systeem, uiteraard. Je kunt nog zoveel beveiligingsmaatregelen treffen, er is altijd iemand die een lek kan vinden. Bijvoorbeeld 2FA is nuttig, als je echter iemand weet te treffen door middel van een malafide website of iets dergelijks die reeds is aangemeld met 2FA, dan heb je alsnog een ingang gevonden.

We weten ook niet precies welk deel geraakt is. Vermoedelijk alleen het administratieve/commerciële gedeelte van het bedrijf, dus alles wat internetconnectiviteit moet hebben. Dat zegt uiteraard niets over de productieafdeling cq. het gedeelte dat daadwerkelijk iets met de nucleaire wapens doet.

JumpStart @mvrhrln • 15 juni 2021 14:21

WOW! Heb ik iets gedaan om je te beledigen misschien? Per ongeluk op je tenen getrapt? Sorry hoor...

Kom op, mag ik verbaasd zijn over een ogenschijnlijk gebrek aan beveiliging in een industrie waar je zou verwachten dat zowel digitale als fysieke beveiliging op erg hoog niveau staat?

[Reactie gewijzigd door JumpStart op 24 juli 2024 04:39]

Martao @JumpStart • 15 juni 2021 14:57

Je kijkt niet verder dan je neus lang is.

In ieder bedrijf werken mensen, en in ieder bedrijf vinden doodnormale processen plaats. Ook als je levert aan de DoD heb je die. Zoals e-mail, zoals systemen voor financiële administratie. Dit netwerk zit dan gewoon aan het internet. Je mag hopen dat die alsnog wat beter beschermd zijn dan bij Timmerman Piet B.V., maar NIKS is 100% veilig.

Aan de nu beschikbare informatie kun je jouw conclusies gewoon NIET ontlenen.

SunnieNL

@JumpStart • 15 juni 2021 19:00

Oliepijplijn was de kantoor automatisering. De pijplijn zelf is nooit in geding geweest omdat die op een afgesloten netwerk zit. Echter, administratie zit gewoon in de kantoorautomatisering en zonder die administratie weet je niet wie wat levert of moet krijgen en daarom ging die pijplijn dicht.

Hier kan gewoon hetzelfde. Kantoorautomatisering die getroffen wordt terwijl de echt belangrijke zaken op andere systemen staan die niet getroffen zijn.

Zo kunnen op dezelfde manier vrachtwagens bij een logistiek bedrijf stil komen te liggen. Die vrachtwagens zijn niet getroffen. Maar zonder administratie weet niemand wat waar naar toe moet met welke vrachtwagen.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 04:39]

Cowamundo 15 juni 2021 09:44

“Er zou geen staatsgeheime of vertrouwelijke informatie zijn gestolen, of data die is mogelijk voor onveiligheden kan zorgen.”

Informatie over werknemers lijkt mij in deze branch toch wel iets dat vertrouwelijk is en voor onveiligheden kan zorgen...

Eonfge @Cowamundo • 15 juni 2021 11:31

Dat is al eens gehackt en uitgelekt in 2013:

United States Office of Personnel Management (OPM) Hack
https://www.csoonline.com...inas-captain-america.html

Elke Amerikaan die in de afgelopen 40 jaar een security clearence heeft moeten aanvragen, heeft zijn complete aanvraag en alle prive-gegevens op straat. Dit maakt al die medewerkers erg kwetsbaar voor bijvoorbeeld afpersing, en het zou het ook eenvoudiger maken om een spion naar binnen te fietsen met de identiteit van een Amerikaans burger.

Vermoedelijke dader? Chinese veiligheidsdienst.

hooibergje 15 juni 2021 09:44

malware-as-a-service

What a time to be alive...

xoniq @hooibergje • 15 juni 2021 10:40

Niet veel anders dan DDoS-as-a-service, wat we ook al jaren kennen, waar al vele script kiddies mee los gegaan zijn.

Nickvdd 15 juni 2021 09:42

Goede manier om Interpol en andere speciale eenheden achter je aan te krijgen. Zullen vast wel een aantal criminelen opgerold worden binnenkort.

Alxndr

@Nickvdd • 15 juni 2021 10:00

Als het Russen blijken te zijn krijgen ze waarschijnlijk eerder beloning/bescherming van ome Putin dan straf, denk je ook niet?

arjankoole @Alxndr • 15 juni 2021 14:53

Als het Russen blijken te zijn krijgen ze waarschijnlijk eerder beloning/bescherming van ome Putin dan straf, denk je ook niet?

zelfs Putin is inmiddels serieus aan over na aan het denken om dit soort gasten uit te leveren, las ik ergens. (daadwerkelijk iets met enige betrouwbaarheid).

Kijk, Putin is geen domme gast. Hij heeft er totaal geen probleem mee om de grootst mogelijke rotzooi te trappen, maar het moet wel nut hebben voor zijn plannen. Dit soort gasten hebben dat niet. (hoewel het een prima afleidingsmanoeuvre zou zijn)

Alxndr

@arjankoole • 15 juni 2021 16:07

"het moet wel nut hebben voor zijn plannen"

Putin ik zou ik op een boel manieren kunnen typeren, maar domheid is daar zeker geen van. Ook al heb je wellicht een punt (zou graag weten wat je enigzins betrouwbare bron is), in dit specifieke geval over nucleaire wapens, lijkt me dat voor hem toch wel nuttige info?

Ik moet zeggen dat ik sinds het zien van deze video toch wel weer wat anders tegen Rusland aan kijk - en dus het effect van een figuur als Putin die daar de macht uitmaakt.

Vlizzjeffrey @Nickvdd • 15 juni 2021 10:02

Interpol is europees, het is een amerikaans bedrijf dat getroffen is.

XephireUK @Vlizzjeffrey • 15 juni 2021 10:20

Europol is europees, Interpol is internationaal.

Vlizzjeffrey @XephireUK • 15 juni 2021 10:33

oops

ENTXawp 15 juni 2021 09:37

Dit lijkt me een goede manier om de titel CyberTerrorist te krijgen.

_Thanatos_ @ENTXawp • 15 juni 2021 09:50

Een land dat met nucleaire wapens loopt te dreigen, kun je ook best een terrorist noemen. Zeker in de letterlijke zin van het woord.

Martao @_Thanatos_ • 15 juni 2021 14:58

Alleen dreigen de meeste landen er niet mee.

_Thanatos_ @Martao • 15 juni 2021 17:00

Niet expliciet nee, maar wmb is het hebben van ready-to-launch nuclaire moordwapens voldoende dreigement.

arjankoole @_Thanatos_ • 16 juni 2021 09:30

Niet expliciet nee, maar wmb is het hebben van ready-to-launch nuclaire moordwapens voldoende dreigement.

Dat is die nonsense van 'mutually assured destruction' die ze ooit in de koude oorlog begonnen zijn.

Daar kom je helaas alleen nog maar vanaf als de hele planeet als 1 opstaat en die krengen verbied. Dat gaan ze pas doen als ze iets ergers hebben. Niemand WMD's opgeven, als een potentiële vijand die nog wel heeft. (of als je veel vijanden hebt die die dingen sowieso niet hebben).

ethisch te verantwoorden? nee. Maar daar kijken overheden die dat soort dingen bezitten doorgaans weinig naar.

_Thanatos_ @arjankoole • 16 juni 2021 13:18

Genoeg landen die geen nucleaire massavernietigingswapens hebben én succesvol en welvaren zijn.

Gewoon die krengen wegdoen. Dat geeft je gelijk al een heel ander imago.

Zelfde als wapenbezit: als iedereen een wapen heeft, MOET jij er dan ook een hebben? Nee, dat moet helemaal niet.

[Reactie gewijzigd door _Thanatos_ op 24 juli 2024 04:39]

arjankoole @_Thanatos_ • 16 juni 2021 15:35

Doorgaans de landen die onder de nucleaire paraplu vallen van een der kernmachten, en dus - zelfs Japan (!!) - keihard tegen anti-kernwapen verdragen stemmen.

Ik ben het niet met je oneens, ik geef alleen aan waarom ze kernwapens pas wegdoen uitsluitend en exclusief als ze nog iets veel ergers hebben.

en ja, op dat niveau: als anderen een wapen hebben: moet jij dat ook hebben, of minimaal iets wat het wapen effectief nutteloos maakt als het gebruikt wordt tegen je.

sad but true, but that is humanity.

Tiny 15 juni 2021 09:56

Klinkt als het plot van zo'n RTL7 - "Meer voor Mannen" - Film......

kaasboer09 15 juni 2021 09:56

Het wordt steeds duidelijker dat onze afhankelijkheid van digitale systemen ook onze achilleshiel is/wordt. Elke microprocessor, waar dan ook, vormt een potentieel risico. De huidige generatie ingenieurs weet geen complex probleem op te lossen zònder digitaal component te introduceren (myself included).

Ik kan mij geen wereld voorstellen waarin nucleaire wapensystemen potentieel kan platliggen door zoiets als ransomware. Tegelijkertijd kan ik het me niet voorstellen dat we blijven werken met analoge systemen uit de jaren ‘60 en ‘70…

nst6ldr @kaasboer09 • 15 juni 2021 11:01

Even heel gechargeerd: zonder die digitale systemen loopt een natie hopeloos achter. De mogelijkheid om in een oogwenk informatie te genereren uit data en dat vrijwel direct op de relevante plek te krijgen is nog steeds fundamenteel aan ons huidige bestaan.

Dat gezegd hebbende, in vergelijking met de meeste branches is certificering en risicomanagement echt nog een bijzaak in de IT dienstverlening.

computerjunky 15 juni 2021 12:53

Tja ik blijf me verbazen hoe personeel toegang heeft tot het internet/mails en dat dit gekoppeld is aan de servers op een manier waarop dit dus kan gebeuren.

Als ik een bedrijf zou hebben zou ik liever meerdere losse systemen hebben dan alles gekoppeld hebben.
Te veel mensen klikken blind op alles zonder ook maar hun hersens te gebruiken even de link te controleren. Als je die basis taak al niet kan wil ik je niet aan mijn cruciale netwerk hebben met je vingers.
Wat mij betreft komt er een internet veiligheid kennis test en fail je die dan blijf je met je fikken van de computers af. Ook mogen er wel met regelmaat briefings voor het gehele personeel komen om mensen i te lichten over waar ze op moeten letten mocht er wat nieuws komen. Maar over het algemeen is het zo basis dat ik me bijna schaam dat mijn medemens hier nog steeds in trapt...
Van echt hacken is namelijk bijna nooit sprake het is allemaal phishing en clickbaiting in mails waar die sufferds intrappen.

[Reactie gewijzigd door computerjunky op 24 juli 2024 04:39]

SunnieNL

@computerjunky • 15 juni 2021 19:07

Meerdere losse systemen? Zoals een voor email, een voor administratie en een voor productie? En dan moeten die mensen 3 systemen met 3 monitoren en 3 toetsenbord en muis en alles voor scherm 3 in systeem 2 invoeren en dan van 2 terug naar systeem 1?
En dat is werkbaar denk je? Misschien is het dan beter om systeem 1 terug te brengen naar de normale brief. Scheelt weer een los systeem en hoef je gelijk niet meer op internet aangesloten te zijn….

VriendP2 15 juni 2021 22:02

Keurig. Een bedrijf dat bestaat van dreiging staat nu ineens aan de andere kant van bedreiging. Publiceren die handel. Ransom is niet nodig.

[Reactie gewijzigd door VriendP2 op 24 juli 2024 04:39]

Op dit item kan niet meer gereageerd worden.

Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware

Lees meer

Reacties (81)

Sorteer op:

Weergave: