Volkskrant: MIVD ontdekt dat Rusland tientallen Nederlandse routers infecteerde

Tientallen routers van Nederlandse burgers zijn geïnfecteerd door Russische staatshackers, zegt de Militaire Inlichtingen- en Veiligheidsdienst tegen de Volkskrant. De routers worden in een botnet opgenomen dat kan worden ingezet 'voor spionage, beïnvloeding en sabotage'.

MIVD-directeur Jan Swillens zegt tegen de Volkskrant dat de inlichtingendienst de slachtoffers gaat informeren. Hij zegt dat de routers gehackt zijn door Eenheid 74455, een onderdeel van de Russische MIVD-tegenhanger GRU. Dat is dezelfde groep die in 2014 achter de aanval op het Oekraïense elektriciteitsnetwerk zat. Desondanks wil de MIVD niet de link leggen met de oorlog in Oekraïne.

Volgens de MIVD zouden de aanvallers routers hebben aangevallen via een update die persistence heeft op de router. Dat zou alleen het geval zijn als de routers van buitenaf benaderbaar zijn. Met de update zou de hackersgroep controle kunnen krijgen over de routers en die 'centraal en collectief aansturen en inzetten voor spionage, beïnvloeding en sabotage'.

Het is niet bekend hoeveel Nederlandse slachtoffers door de malware zijn getroffen. Volgens de MIVD zou het om 'enkele tientallen' gaan. De MIVD vond de routers toen de dienst aanvallen van de hackersgroep volgde en daarbij Nederlandse IP-adressen tegenkwam. Dat zouden willekeurige slachtoffers zijn en dus geen specifieke doelwitten.

Reacties (142)

142

136

Wijzig sortering

vanaalten 3 maart 2022 08:35

Ik mis hier een lijstje met merken en types. Of een procedure om vast te stellen dat je slachtoffer bent. Of een verklaring wat de MIVD gaat doen om mensen te assisteren hun router weer schoon te krijgen.

Ofwel… wat kan ik nu met deze informatie?

D-Three @vanaalten • 3 maart 2022 09:18

Het Volkskrant artikel suggereert dat het over de CyclopsBlink malware gaat die WatchGuard routers kan infecteren.

De ontdekking van de MIVD volgt op waarschuwingen van Britse en Amerikaanse veiligheidsdiensten eind februari dat Russische hackers een nieuw soort malware gebruiken, genaamd CyclopsBlink. Die dringt routers binnen van onder andere WatchGuard en creëert daarmee een aanvalsnetwerk, ook wel botnet.

En dan enkel wanneer de router kan worden beheerd van buitenaf

De malware wordt geïnstalleerd als onderdeel van een update en blijft daarna op de router staan. Particulieren en bedrijven die de standaardinstellingen hebben aangepast en de mogelijkheid van toegang van buitenaf hebben aangezet, zijn volgens de Britse overheid kwetsbaar.

https://www.shadowserver....al-reports-cyclops-blink/

To date, Cyclops Blink malware is believed to have been primarily deployed onto WatchGuard firewall devices (which are Linux ELF 32-bit PowerPC big-endian platforms), and all C2 servers identified to date have been for WatchGuard firewalls. However, the assessment published today indicates that it is likely that the Cyclops Blink malware could also be compiled and deployed onto other architectures and firmware.

Info van WatchGuard zelf:
https://detection.watchguard.com/

[Reactie gewijzigd door D-Three op 24 juli 2024 10:04]

vlaaing peerd @D-Three • 3 maart 2022 12:44

Het zou Tweakers toch een beetje sieren als ze dit soort relevante en technische informatie in hun artikelen zouden stoppen.

Het is een techsite die een minder technische uitleg heeft dan de Volkskrant, dat vind ik best slecht.

Maar bedankt, ik vind dit een relevante aanvulling!

tweakers2 @D-Three • 3 maart 2022 13:03

kleine aanvulling dit is sinds Juni 2019 al bekend bij de "diensten" en "ze" kwamen recentelijk een paar Nederlandse ip-adressen tegen , ... goede sier behoeft geen krans

https://media.defense.gov...ES_VPNFILTER_20220223.PDF

Sluuut @vanaalten • 3 maart 2022 08:45

Ik zie het in ieder geval als tip om je remote login vanaf internet op je router te disablen als je dat kunt.

thefox154 @Sluuut • 3 maart 2022 08:49

Hebben die ziggo modems/routers dat niet allemaal standaard aan staan?
Tenminste toen ik nog ziggo had en met regelmatig gezeik met die dingen had kan een medewerker direct in de modem. Oh ik zie het al in de configuratie staan de dns'en niet goed. Ik upload wel even een nieuwe config file...

mikeyfire643 @thefox154 • 3 maart 2022 09:04

Dan zou ik maar is het wachtwoord gaan wijzigen….

ultimasnake @mikeyfire643 • 3 maart 2022 09:15

Ik denk met 99% zekerheid dat Ziggo een 'Log nu in' knopje heeft of op z'n minst credentials die jij niet kan wijzigen.

TargetDrone @ultimasnake • 3 maart 2022 09:19

In het geval van de Ziggo Connect Box is dit wel het geval inderdaad. Ik heb deze gehad en kon het apparaat niet in bridge mode zetten, maar na een belletje met Ziggo was dit wel mogelijk. Nog tijdens het gesprek startte het apparaat opnieuw op en stond het op bridge mode. Dat lijkt mij niet te kunnen zonder remote access.

_JGC_ @TargetDrone • 3 maart 2022 09:39

Die modems zitten in een management netwerk waar alleen Ziggo bij kan. Doe met je bridged modem maar eens een traceroute, je zult een 10.x adres tegenkomen, dat is het IP van je modem op het Ziggo netwerk.
Overigens hoeft Ziggo niet per se op je modem te zijn. Ze zetten een nieuwe bootfile klaar en kunnen dan vanuit de controller het modem van het netwerk schoppen, die gaat vervolgens opnieuw verbinden.

sebastienbo @_JGC_ • 4 maart 2022 07:20

Dus als een hacker de ISp network binnengedrongen heeft dan hebben die toegang tot alles? Dat lijkt me veel gemakkelijker om een ISp aan te vallen dan tienduizenden aparte burgers.

Vergeet ook niet dat dit management netwerk blijkbaar tot bij de burgers binnenkomt. Een Russische hacker kan zich op die plaats dan ook toegang proberen te verschaffen tot de rest van het private netwerk.
Er is een misconceptie dat management netwerken veilig zijn .. Nee het word een beetje veiliger maar is daarom niet defacto veilig

[Reactie gewijzigd door sebastienbo op 24 juli 2024 10:04]

Alfa1970 @TargetDrone • 3 maart 2022 10:15

Ik kan met stellige zekerheid zeggen dat ook Tele2 en T-Mobile een manier hebben om extern in te loggen op je router.

Ik weet niet precies wat bedoeld wordt met bridgemode in het geval van Ziggo maar het lijkt me dat je dan een echte firewall achter je router wilt hebben en niet moet vertrouwen op je windows firewall.
En dan niet een van de huis tuin en keuken varianten die niet veel meer zijn dan acl's of packet filters maar meer een UTM zoals bijvoorbeeld van Fortinet of Watchguard.

damouze @Alfa1970 • 3 maart 2022 11:18

Ik las net elders dat Watchguard één van de merken is waarvan modems/routers zijn gehackt...

Alfa1970 @damouze • 3 maart 2022 20:23

Watchguard heeft geen routers of modems. Ze hebben wel access points, misschien dat je dat bedoelde?
Dat wil niet zeggen dat de devices niet gehacked zouden kunnen zijn.
Ik heb beide merken genoemd omdat deze producten hebben in het soho segment die goedkoop genoeg zijn voor thuisgebruikers.

GoBieN-Be @Alfa1970 • 3 maart 2022 23:57

Het betreft Watchguard Firebox firewall appliances waarvan er enorm veel staan bij MKB/KMO klanten. Maar de meesten zijn wel zo slim om de management niet publiek open te zetten op de WAN interface.

Quintiemero @Alfa1970 • 3 maart 2022 12:35

Vaak genoeg gedaan als medewerker bij Tele2

Disclaimer: met toestemming

Yoshee @Alfa1970 • 3 maart 2022 15:59

Op de Zyxel T50 modem van t-mobile kan je het ww veranderen met als gevolg dat het wifi aan/uit gaat elke paar minuten dus ik denk dat je niet zomaar dit wil aanpassen of ze willen niet dat je dit doet. Ik ga daar wel over bellen waarom dit niet wil lukken.

Vyo @Alfa1970 • 3 maart 2022 22:33

Dat kan ik in ieder geval voor de oude Drayteks die ze nog in dienst hebben beamen. Zowel support kan van buiten af erbij, alswel ikzelf: tot m'n verbazing kun je een heel scala aan instellingen via de webpagina van T-Mobile Thuis aanpassen, inclusief zaken als WiFi en bijbehorend wachtwoord.

ultimasnake @TargetDrone • 3 maart 2022 09:21

Inderdaad, maar dit was dan ook meer een reactie op het wijzigen van het wachtwoord, dat is jouw wachtwoord van jouw account en niet die Ziggo heeft :-)

Thanks voor de aanvulling

Zezura @TargetDrone • 3 maart 2022 10:30

genoeg reden om een ander modem te nemen

beerse @ultimasnake • 3 maart 2022 12:16

Probeer bij oudere ziggo apparatuur het wachtwoord 'draadloos' eens

Sluuut @thefox154 • 3 maart 2022 08:53

Geen idee wat betreft ZIggo, bij een FritzBox! van XS4all/KPN kun je het zelf aanzetten en staat het standaard uit.

hcQd @thefox154 • 3 maart 2022 10:21

Bij vrijwel alle routers geleverd door providers gaat dat via TR-069.

Verwijderd @thefox154 • 3 maart 2022 09:06

Zelfe ervaring: Ik zie uw apparaten. Fijn als criminelen ongeveer weten wat er te halen valt. Zo zijn er audiostreamers van meer van €10.000. Leker handig die toegang. Ga hem nu gelijk uitzetten. Kan de provider hiervoor niet waarschuwen?

Kabouterplop01 @Sluuut • 3 maart 2022 14:17

Dat zou eigenlijk standaard moeten zijn; disabled van buitenaf.
Het is gewoon onnodig om er vanaf buiten bij te kunnen, je bent er dan toch niet.

De assistentie vraag zou een awareness campagne op moeten roepen waarom je dit niet moet doen.

cracking cloud @vanaalten • 3 maart 2022 08:53

MIVD-directeur Jan Swillens zegt tegen de Volkskrant dat de inlichtingendienst de slachtoffers gaat informeren

kodak

Beveiliging en antivirus

@cracking cloud • 3 maart 2022 09:07

Dat is niet het zelfde als alle gebruikers informeren welke routers onveilig zijn. Je bent meestal niet alleen pas onveilig als je router door criminelen overgenomen is, maar ook doordat die over te nemen is.

RobbieB @kodak • 3 maart 2022 09:14

Het is voor de MIVD ook niet interessant om te vertellen welke modems er zijn getroffen want er is een dikke kans dat ze die exploits zelf ook misbruiken voor hun intelligence werk.

kodak

Beveiliging en antivirus

@RobbieB • 3 maart 2022 09:19

Maar dat vertellen ze al door gebruikers te informeren die er wel duidelijk last van hebben.

Daoka @kodak • 3 maart 2022 10:53

Op zich inderdaad wel. Maar ik verwacht wel dat de meeste mensen dit dan niet doorvertellen aan de wereld. Hooguit een leuk verhaal tijdens de koffie maar op internet gaan vermelden dat je dus gehackt ben en ik heb modem (merk en type nummer) zie ik niet echt gebeuren. Ook verwacht ik niet dat mensen echt beseffen dat iedereen met deze modem (of ander apparaat natuurlijk) kwetsbaar kan zijn. Dus de geheim zal wel veilig zijn verwacht ik.

bbob

Rusland

@RobbieB • 3 maart 2022 10:08

Die kans is er zeker of ze maken ander hacker groepen wakker die dan specifiek kunnen zoeken bij dat type router en proberen die te infecteren. Dus je kan zeggen dat de benadering van mivd op dit moment juist is.

YangWenli @RobbieB • 3 maart 2022 14:17

Ik denk dat MIVD geen gezeik wil met rechtszaken van de fabrikanten die hun beveiliging niet op orde hebben.

glennoo @kodak • 3 maart 2022 09:11

Dit inderdaad, waar is het lijstje met welke routers kwetsbaar zijn? En of er al een patch is om deze kwetsbaarheid op te lossen? Of op zijn minst een workaround?

osluis @cracking cloud • 3 maart 2022 09:47

En hoe gaan ze dat doen als ze alleen de IP-adressen hebben? Of werkt de ISP nu direct mee met het verstrekken van de NAW gegevens van de slachtoffers?

DB LucF @osluis • 3 maart 2022 10:10

Gewoon via die ISP.
"Hallo lieve ISP, wij van de MIVD hebben gemerkt dat uw klant met IP adres x.x.x.x een geinfecteerde router heeft. Zie bevindingen en details in bijgevoegd document. Zou u zo lief willen zijn deze informatie door te sturen naar uw klant.
Als deze klant verdere vragen heeft kunnen ze contact met ons opnemen op emailadres xyz@mivd.com of telefoonnummer 0123456789."

Ramoncito @DB LucF • 3 maart 2022 10:49

En als je dan zo'n mailtje of telefoontje van je ISP krijgt, denk je dat het phissing is

bbob

Rusland

@osluis • 3 maart 2022 10:10

Wat denk je zelf ?
Als een ISP weet dat jou pc router enz gehackt is en misbruikt kan worden kan deze normaal al van het netwerk worden afgesloten. Of de mivd rechtstreeks contact heeft weten we niet, zo niet zal de provider contact opnemen na het krijgen van een melding en in dat geval verwijzen naar mivd om het op te lossen.

jannesbeterams @vanaalten • 3 maart 2022 08:54

Stukje PR van de MIVD inhakend op de events van nu? Zo voelt het nu in ieder geval. Paniek, maar weinig pragmatiek.

litebyte @jannesbeterams • 3 maart 2022 09:48

Exact, en dat is een zorgwekkende ontwikkeling. Er is in de Nederlandse massamedia nu ook regelmatig een zeer corpulente man te zien (een of andere MIVD kolonel BD) die hele enge voorstel uitspraken doet om over de hoofden van de oorlog en Ukrainse slachtoffers proberen symphatie te kweken voor zeer vergaande maatregelen

Een ervan deed hij gisteren in Op1 waarbij hij anonimiteit in Nederland op internet niet meer toe wil staan. Die oorlog is verschrikkelijk maar als we het ook nog gaan misbruiken om er 'snel' minder vrijheid mee door te drukken is het een extra slechte ontwikkeling.

bbob

Rusland

@litebyte • 3 maart 2022 10:18

Tja veiligheid en angst zijn voor onze overheid altijd een excuus om nog meer controle te krijgen over burgers.
Standaard is het terrorisme met een sausje van pedofilie, dat gaat er bij de massa als hapklare brokken in.

Wat de beste man vergeet is als je een overheidsapparaat hebt wat alles weet en je land valt ten prooi aan een tegenstander die ook over al die informatie kan beschikken, of je daar blij van moet worden is weer iets anders.

ronaldvr @bbob • 3 maart 2022 11:53

Tja veiligheid en angst zijn voor onze overheid altijd een excuus om nog meer controle te krijgen over burgers.

Nee NIET de 'overheid'! Slechts een beperkt aantal lieden van veelal rechtse signatuur vaak werkzaam bij politie en defensie willen dit graag, en ook de politici van die signatuur als (op het moment dat) er ééns in de 10 jaar iets echt serieus gebeurt. Aangewakkerd door veelal (dag)bladen van diezelfde signatuur die graag 'moral panic' aanwakkeren (want dat verkoopt).

bbob

Rusland

@ronaldvr • 3 maart 2022 12:41

Helaas is de realiteit dat onze overheid toch al aardig wat wetgeving heeft ingevoerd die redelijk ver gaat, lees o.a tapwet.
Laten we het dan ook nog maar niet hebben over alle corona wetgeving die nu blijkt heel erg is aangedikt door ambtenaren.
Door het ontbreken van grondwettelijk in Nederland worden wetten daarnaast ook niet getoetst aan de grondwet en mag een rechter deze daar niet eens aan toetsen.
Ga nog eens verder hoe de rechterlijke macht in toeslagenaffaire alle sprookjes van de overheid geloofde en daar over de eigen organisatie een kritisch rapport over geschreven heeft, dan heeft dit weinig te maken met rechts signatuur.

Het idee links rechts is daarnaast ook al achterhaald. Kijk naar het verleden zodra er voor link en rechts extreem staat wordt het volk toch onderdrukt.

wankel @bbob • 3 maart 2022 12:56

Helaas is de realiteit dat onze (rechtse) overheid toch al aardig wat wetgeving heeft ingevoerd die redelijk ver gaat, lees o.a tapwet.
...
Ga nog eens verder hoe de rechterlijke macht in toeslagenaffaire (...rechts beleid)

Dat is toch precies wat @ronaldvr zegt?

... zodra er voor link en rechts extreem staat wordt het volk toch onderdrukt.

... en hij heeft het nog niet eens over extremen.

bbob

Rusland

@wankel • 3 maart 2022 14:10

nieuws: Aftapwet is een feit na stemming in Eerste Kamer

[quote]Onder de partijen die voor de wet stemden, waren VVD, CDA, PvdA, ChristenUnie, SGP, 50PLUS en de PVV. SP, D66, Partij voor de Dieren en GroenLinks stemden tegen.[/quote

pvda, niet bekend dat ze rechts zijn, eerder links
sp lijkt me niet rechts.
d66 midden/links

Ook de tapwet is er gewoon gekomen met brede steun op links.

Duys rechts kun je net zo goed weglaten als het om steunen van wetten gaat die rechten inperken. Het idee was dat vroeger punt van midden en links was, daty hebben ze jaren geleden al overboord gegooid.

wankel @bbob • 3 maart 2022 14:39

nieuws: Aftapwet is een feit na stemming in Eerste Kamer
Onder de partijen die voor de wet stemden, waren VVD, CDA, PvdA, ChristenUnie, SGP, 50PLUS en de PVV.

pvda, niet bekend dat ze rechts zijn, eerder links
Ook de tapwet is er gewoon gekomen met brede steun op links.

[/quote]
Stemmen voor: 5 van 6, 80+%, rechts/conservatief; stemmen tegen: 100% links/progressief
Uit je voorbeeld haal ik de onderbouwing voor je stelling niet.

ronaldvr @bbob • 3 maart 2022 13:32

Het idee links rechts is daarnaast ook al achterhaald.

Nou in algemene zin is alles verrechtst dus links is alleen nog maar 'sterk' als boeman voor extreem rechts ('ze willen je alles afpakken!'), en ja rechts (echt rechts, dus niet 'conservatief' werkt veel en graag met boemannen, angst en wat ik al aangaf 'moral outrage' en - panic. Echt letterlijk alles om het maar niet over feiten te hoeven hebben want wat iemand ooit zei "reality has a remarkable liberal 'bias'". Of anders gezegd: Wat rechts én extreem rechts op dit moment vooral doet is mensen op het gevoel en met name angst proberen te appelleren, en vooral niet op feiten.

bbob

Rusland

@ronaldvr • 3 maart 2022 14:13

Angst is links en rechts altijd een motivatie geweest om stemmen te trekken. Het verkoopt nu eenmaal. Maar goed de politiek links en rechts is sowieso rot op een paar "echte"volksvertegenwoordigers na dan.
De rest zijn gewoon partijvertegenwoordigers of stemvee.
Wat dat betreft had Wilders gelijk, nep parlement, waar hij overigens ook braaf aan meedoet aangezien er binnen zijn partij maar 1 lid is, hij die alles bepaald.

twdikkert @litebyte • 3 maart 2022 10:32

Inderdaad heel vreemd. Juist in deze periode, zie je hoe belangrijk veilige anonieme communicatie is. Het gebruik van tor stijgt in Rusland en Oekraine.

Een ervan deed hij gisteren in Op1 waarbij hij anonimiteit in Nederland op internet niet meer toe wil staan. Die oorlog is verschrikkelijk maar als we het ook nog gaan misbruiken om er 'snel' minder vrijheid mee door te drukken is het een extra slechte ontwikkeling.

Robert-Jan @jannesbeterams • 3 maart 2022 09:53

Even laten weten dat de MIVD ook nog bestaat en relevant is. Nu is het momentum.

jannesbeterams @Robert-Jan • 3 maart 2022 09:58

Op zich best begrijpelijk, PR geldt als belangrijk voor elke organisatie. Alleen wel een beetje opletten waar het richting propaganda gaat en dat je jezelf niet tezeer voor schut zet met een lege boodschap zoals deze.

J_van_Ekris @jannesbeterams • 3 maart 2022 13:36

Stukje PR van de MIVD inhakend op de events van nu? Zo voelt het nu in ieder geval. Paniek, maar weinig pragmatiek.

Of het signaal naar de KGB: we hebben je allang gezien, en we hielden jullie allang in de gaten. En nu is de tijd gekomen dat we het genoeg vinden en jullie positie verzwakken.

Dit is een strategisch spel waar wij als burgers niet alle stukken overzien.

Artz @jannesbeterams • 3 maart 2022 11:35

Ze zeggen op defensie.nl zelf letterlijk:

"Openbaarmaking van deze methoden draagt bij aan verstoring van dergelijke vijandige operaties en het verhogen van de weerbaarheid van daadwerkelijke en potentiële slachtoffers. MIVD-directeur generaal-majoor Jan Swillens: “Net als in 2018 bij de verstoorde hackoperatie bij de Organisatie voor het Verbod op Chemische Wapens (OPCW) toen we de betrokken Russen het land uit hebben gezet, is ook nu de boodschap: dit moet stoppen.’’"

Twam @vanaalten • 3 maart 2022 09:21

In het artikel staat "onder andere WatchGuard".

Apparaten die automatische updates krijgen en waarvan toegang van buitenaf actief is aangezet. Vrij veel particuliere routers vallen op dat eerste punt wel af

Tintel @vanaalten • 3 maart 2022 10:07

Of Alu-hoedje op:
<Anti-propaganda>De Russen doen stoute dingen! Ze deugen niet!</Anti-propaganda>

MicGlou @vanaalten • 3 maart 2022 10:26

Het bericht is niet volledig overgenomen, blijkbaar is er met de slachtoffers contact opgenomen over het voorval. Zie het gelinkte artikel naar de volkskrant.

De MIVD heeft volgens Swillens slachtoffers geadviseerd om de routers te vervangen en in een aantal gevallen een tegoedbon voor een alternatief gegeven

hades-2006 @vanaalten • 3 maart 2022 14:48

https://www.ncsc.nl/actue...routers-door-apt-sandworm

ubje 3 maart 2022 08:48

Op de pagina van de volkskrant staat dat het om WatchGuard gaat.

link

ultimasnake @ubje • 3 maart 2022 09:23

Bijzonder want dat zijn volgens mij niet echt consument gerichte routers... Ook bijzonder dat Telegraaf dit wel weet te melden maar tweakers alle technische details weglaat dan

ubje @ultimasnake • 3 maart 2022 09:30

Het artikel van de volkrant heeft een link naar een artikel van de Britse en Amerikaanse veiligheidsdiensten en daar gaat het om een versie die VPNFilter vervangt. VPNFilter draait weer wel op consumenten routers.

https://en.wikipedia.org/wiki/VPNFilter

litebyte @ubje • 3 maart 2022 09:49

Gelukkig dat het niet om Cisco routers gaat...

bbob

Rusland

@ultimasnake • 3 maart 2022 10:20

Bijzonder want dat zijn volgens mij niet echt consument gerichte routers... Ook bijzonder dat Telegraaf dit wel weet te melden maar tweakers alle technische details weglaat dan

Tweaker artikelen zijn vooral copy past en dus niet te veel werk besteden. Het lezen van commentaar geeft je zoals nu veel meer info en dat weet men en maakt zich er eenvoudig vanaf.

tweazer @ultimasnake • 3 maart 2022 09:44

Watchguards zijn 2e hands te koop. Maar als je zonder support kontrakt geen updates kunt downloaden is het wachten op ellende. Grootste grap zou zijn als je ze prefabricated van 'russische' vrienden koopt...

Zelf een oud pc'tje of arm bordje van openwrt of soortgelijke oplossingen voorzien is wellicht een betere oplossing, die watchguards zijn altijd overprijsd geweest en moeten het meer van de looks dan de hardware en software hebben.

wankel @ultimasnake • 3 maart 2022 13:20

Ook bijzonder dat Telegraaf dit wel weet te melden maar tweakers alle technische details weglaat dan

Misschien zit het Volkskrant/Telegraaf-artikel achter een paywall en heeft te Tweakers redactie alleen de eerste alinea kunnen lezen?

dezejongeman @ubje • 3 maart 2022 09:42

misschien heeft de auteur van het artikel nog niet voldoende onderzoek gedaan naar types. ik ga er vanuit dat dit bijgevoegd gaat worden. mogelijk gaat het om meer merken dan er bij Volkskrant nog genoemd wordt. voor tweakers.net is het merk en eventuele types en beschikbare updates hele nuttige artikel informatie.

Slaut 3 maart 2022 08:34

De AIVD brengt nu het tweede seizoen van hun podcast 'De dienst' uit, mogelijk een leuke achtergrond op dit nieuws:
https://podcastluisteren.nl/pod/De-Dienst
https://open.spotify.com/show/6wZZ2ojf2XxwgfYT649wpO
https://podcasts.apple.com/nl/podcast/de-dienst/id1548268945

JDFS @Slaut • 3 maart 2022 10:13

Super interessant! Heel erg bedankt voor het delen hiervan, altijd al interesse gehad in de AIVD, het boek 'Het is oorlog, maar niemand die het ziet' staat ook nog op mijn lijstje

MSteverink @Slaut • 3 maart 2022 18:45

Waarom is dit relevant in een artikel over de MIVD?

Slaut @MSteverink • 3 maart 2022 19:32

In het tweede seizoen gaat het over een cyber dreiging, malware in een energimaatschappij. AIVD en MIVD werken hier op delen samen.

peterpijpelink 3 maart 2022 08:55

in het Volkskrant artikel spreken ze (o.a.) over merk: WatchGuard Die dringt routers binnen van onder andere WatchGuard en creëert daarmee een aanvalsnetwerk, ook wel botnet. Het merk zelf heeft ook een artikel. https://www.watchguard.co...nk-state-sponsored-botnet

HoleinOne @peterpijpelink • 3 maart 2022 09:33

Watchguard is niet bepaald een consumenten router. Lijkt mij dat die routers meer bij bedrijven staan die onvoldoende aan beveiliging doen. Zoals eigenlijk bij de meeste kleinere bedrijven.

The Zep Man

Beveiliging en antivirus

3 maart 2022 08:33

Volgens de MIVD zou het om 'enkele tientallen' gaan.

Zijn dit gerichte aanvallen, of gewoon de normale ongerichte aanvallen op oude, brakke routers? Bij een ongerichte aanval lijkt de impact mij beperkt, want het meeste internetverkeer van de meeste Nederlanders is niet bijster interessant voor buitenlandse inlichtingendiensten. Dat veroorzaakt veel ruis, en ik kan mij niet voorstellen dat ze ongericht zo geïnteresseerd zijn als de aanval slechts 'enkele' tientallen willekeurige routers betreft.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 10:04]

CivLord

Rusland

@The Zep Man • 3 maart 2022 09:44

Wat ik uit het bericht begrijp gaat het niet om de persoonlijke data die de eigenaar van de geïnfecteerde router verstuurd. Deze routers worden gebruikt in botnets, om ddos aanvallen op te zetten.

Natuurlijk zou een dergelijke router ook gebruikt kunnen worden om het dataverkeer en de systemen die aan de router hangen verder te bekijken. Maar de hackers zullen enkel gekeken hebben naar een bepaald soort router met een bepaalde versie firmware die kwetsbaar is. De kans dat daar iemand tussen zit die interessant is is zo klein dat het niet eens de moeite waard is om te kijken wie de eigenaren zijn van de besmette routers.

The Zep Man

Beveiliging en antivirus

@CivLord • 3 maart 2022 10:10

Wat ik uit het bericht begrijp gaat het niet om de persoonlijke data die de eigenaar van de geïnfecteerde router verstuurd. Deze routers worden gebruikt in botnets, om ddos aanvallen op te zetten.

'Tientallen' botjes in een botnet zijn ook niet echt significant.

CivLord

Rusland

@The Zep Man • 3 maart 2022 10:27

Tientallen in één land kunnen er bij tientallen landen al duizenden worden.
Deze botjes kunnen ook als extra schakel gebruikt worden om zelf weer tientallen, honderden of duizenden iot-apparaten aan te sturen die die feitelijke ddos aanval uitvoeren.

The Zep Man

Beveiliging en antivirus

@CivLord • 3 maart 2022 11:09

Tientallen in één land kunnen er bij tientallen landen al duizenden worden.

Klopt, maar nog steeds is tientallen botjes van een botnet niet een MIVD persbericht waard.

Deze botjes kunnen ook als extra schakel gebruikt worden om zelf weer tientallen, honderden of duizenden iot-apparaten aan te sturen die die feitelijke ddos aanval uitvoeren.

Dat kan één botje ook, en kunnen honderden botjes ook. Maakt het niet meer of minder significant.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 10:04]

CivLord

Rusland

@The Zep Man • 3 maart 2022 12:02

Ik ben het op zich met je eens. Het is een beetje een vreemd nieuwsbericht.
Het artikel in de Volkskrant leest een beetje alsof er door de krant contact is gezocht met de MIVD naar aanleiding van een regeltje in een nieuwsticker op de site van de MIVD. Dat wordt vervolgens weer gebruikt om oude berichtgeving op te warmen in de context van het conflict in Oekraïne.

ariekanari @The Zep Man • 3 maart 2022 08:38

Lijkt mij i.d.d. ook "normaal" te zijn, ze spreken over 100-tallen. Was/is er sprake van 100-tallen dan nog stelt het niet zoveel voor.

blaatenator @The Zep Man • 3 maart 2022 08:43

Dat zouden willekeurige slachtoffers zijn en dus geen specifieke doelwitten.

Schijnbaar dus willekeurig. Ook nogal ver gezocht maar blijkbaar heeft de AIVD niks beters als bijdrage voor de PR oorlog...

PaPi36 @The Zep Man • 3 maart 2022 08:34

De statistieken vernemen we inderdaad eens per jaar al vanuit een persbericht van PornHub

Iblies @The Zep Man • 3 maart 2022 11:35

Ik snap het bericht ook niet.

De chipsets in veel routers zijn vaak identiek,
kijk vb bij ziggo, maar ook als je een eigen router hebt is het een die internationaal heel vaak gebruikt is omdat die chipsets ergens wel in een land worden gebruikt.

Als er enkele “tientallen” besmet zijn,
dan zijn ze dus kwetsbaar. De vraag die gesteld moet worden is of die kwetsbaarheid kan worden opgelost. Als het oudere routers zijn die een update moeten krijgen en/of vervangen moeten worden ivm end-of-life dan heeft dit bericht weinig zin.

wellproc 3 maart 2022 08:38

Uit het artikel:

De Nederlandse militaire inlichtingendienst MIVD is de gehackte routers na onderzoek op het spoor gekomen en informeert de slachtoffers, zegt MIVD-directeur Jan Swillens tegen de Volkskrant. Een aantal van de gebruikers is gevraagd de geïnfecteerde routers af te staan. Hoeveel gehackte routers er precies zijn, is niet bekend – het zou om enkele tientallen gaan.

Je hoort het dus als het jouw router is. Zo niet: niks aan de hand

[Reactie gewijzigd door wellproc op 24 juli 2024 10:04]

Jboy1991 @wellproc • 3 maart 2022 08:44

Hoe willen zij ons informeren? Als Brein al niet de adresgegevens mag achterhalen van een IP mag de MIVD dit dan wel zonder tussenkomst rechter? (misschien domme opmerking, maar vraag mij dit oprecht af)

Of zouden ze de providers informeren en is het aan de providers om de klant te informeren

Maurits van Baerle @Jboy1991 • 3 maart 2022 09:00

BREIN is een private stichting, de MiVD een overheidsdienst van het Ministerie van Defensie. Reken maar dat de MIVD gewoon, waarschijnlijk via de politie en provider, gewoon een brief kan sturen naar de betrokken personen.

F5544 @Jboy1991 • 3 maart 2022 09:02

Waarschijnlijk heeft de mivd meer bevoegdheden als een particuliere organisatie zoals brein.

En dit betreft staatsveiligheid/preventie

[Reactie gewijzigd door F5544 op 24 juli 2024 10:04]

jeroen3 @Jboy1991 • 3 maart 2022 09:06

De provider gaat jou gewoon informeren of afsluiten als je de beveiliging niet op orde hebt.

xouns @Jboy1991 • 3 maart 2022 09:16

Een optie is dat de MIVD de provider van de klant vraagt om een brief af te leveren namens hen. Hierbij hoeft de MIVD helemaal niet te weten wie het precies is. Brein wil dit ook al jaren, maar providers zeggen redelijkerwijs dat ze geen postbode zijn en dit niet willen doen. In dit geval kan ik me voorstellen dat de providers wel willen meewerken, hoewel dit een precedent kan scheppen. Maar dan nog is er het verschil tussen veiligheidsdienst en private belangenbehartiger.

Verwijderd @Jboy1991 • 3 maart 2022 09:38

MIVD heeft toegang tot CIOT database waar internetgegevens van nederlanders in staan.

https://www.rijksoverheid...oek-telecommunicatie-ciot

haneev @wellproc • 3 maart 2022 08:45

Nou, niet perse niks aan de hand. Want het kan ook prima dat er nog geen aanval is geweest vanaf jouw router of dat de MIVD het nog niet ontdekt heeft. Iets meer informatie over de werkwijze of welke routes het betreft is wel nuttig in deze context.

wellproc @haneev • 3 maart 2022 16:27

Je hebt helemaal gelijk, vandaar ook mijn smiley.
Wat ik probeerde duidelijk te maken is dat er in het oorspronkelijke artikel veel meer staat dan wat hier op Tweakers is overgenomen. Een deel van de vragen is dus gewoon te beantwoorden door het oorspronkelijke artikel te lezen.

En verder is het nog even wachten op duidelijkheid, want of:
A. ze weten precies welke routers in het botnet zijn opgenomen en wie daarvan eigenaar/beheerder is en gaan dus heel gericht en compleet iedereen informeren;
B. ze weten het ongeveer en informeren wie ze kunnen, waarmee er nog altijd een deel (10%, 50%, 90%) van de geïnfecteerde routers buiten beeld blijft (of in ieder geval in de lucht en beschikbaar voor het botnet).

Verwijderd 3 maart 2022 08:35

Tientallen, van burgers. Dat is dus peanuts dat nauwelijks nieuwswaarde heeft. Routers van burgers die deze niet updaten worden met de duizenden per dag geïnfecteerd.

Moesten het nu routers van Internet providers of mobiele netwerken zijn. Maar neen. Tientallen. Van burgers.

So what?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 10:04]

Maurits van Baerle @Verwijderd • 3 maart 2022 08:56

Het gaat niet om tientallen, het gaat om tientallen in Nederland. Wereldwijd zijn het er dus veel meer, ze hebben er alleen tientallen Nederlandse IP adressen tussen gevonden.

Op dit moment lijkt het vooral om DDoS te gaan zodat de router van Tante Truus meewerkt aan een aanval op bijvoorbeeld een Oekraïnse overheidsdienst. Maar, als je eenmaal een persistent payload hebt op iemands router dan is het een koud kunstje om dat ook voor andere doeleinden in te zetten. Je kunt verkeer gaan onderscheppen, omleiden, mensen naar nepsites leiden of zelfs namens dat IP ergens accounts gaan openen en acties gaan ondernemen. Pro-Russische propaganda gaan sturen, critici doxxen etc.

Van DDoS heeft Tante Truus misschien zelf geen last maar van al het andere wel.

Tintel @Maurits van Baerle • 3 maart 2022 10:10

tientallen? Dat soort kleine aantallen bereik je toch ook als Rusland gewoon een mailtje stuurt naar een sympatisant met de vraag of hij/zij z'n Internet verbinding ter beschikking wil stellen... En sympatisanten vinden is best wel te doen denk ik.

Verwijderd @Verwijderd • 3 maart 2022 08:54

Goed punt.

Als slechte dingen elke dag gebeuren, is het normaal.
Maar als het ineens bij naam genoemd word, is het voorpagina nieuws...

ronaldvr @Verwijderd • 3 maart 2022 12:21

Nou, ja je hebt gelijk maar ook weer niet: Het simpele feit dát dit gebeurt is natuurlijk al een reuze probleem, en op momenten als deze kan je juist aan die 'gewone burger' laten zien wat de impact is of kan zijn áls dat gebeurt. Vaak zijn dit soort dingen voor ene 'gewone burger' een abstracte ver van zijn bed show: Nu wordt het concreet en duidelijk.

PaPi36 3 maart 2022 08:33

Zou toch fijn zij als de router merk en typen bekend zouden worden gemaakt.
Dan weet ik of ik een risico router zou hebben.

mphilipp @PaPi36 • 3 maart 2022 08:39

Ze hebben het over routers die van buiten af benaderbaar zijn. Bedoelen ze daarmee dan eigen routers waarbij je de functie hebt aangezet om 'm vanaf het internet te kunnen beheren? Je hebt natuurlijk ook nog die dingen van de provider waarbij remote control (volgens mij) altijd aanstaat zodat zij updates kunnen pushen.
Ik heb dat ding van Ziggo in bridge mode staan, dus die routeert niets en mij eigen router staat uiteraard management access vanaf het inernet niet toe. Zou ik nou veilig zijn?

sircampalot @mphilipp • 3 maart 2022 08:53

De ziggo router in bridge is bereikbaarvan binnenuit (lan kant).
Je kunt naar de admin pagina van de ziggo box via 192.168.100.1

Als je dit in je firewall van je eigen router blokkeert dan is je ziggo box veilig.

jongetje

@sircampalot • 3 maart 2022 09:01

Dat is zijn vraag niet. Doordat het modem in bridge staat gaat al het publieke verkeer direct door naar je eigen router en die zul je zelf moeten beveiligen en patchen. Je kunt wel poorten dichtzetten maar als er een lek in zit kunnen ze binnenkomen.

[Reactie gewijzigd door jongetje op 24 juli 2024 10:04]

sircampalot @jongetje • 3 maart 2022 15:48

Dat is wel een deel van zijn vraag: namelijk ben ik veilig nu in het ziggo modem in bridge heb. Het korte antwoord daarop is nee, het lange antwoord is neen.

Voorbeeld: via een malafide link is het modem van binnenuit te manipuleren.

[Reactie gewijzigd door sircampalot op 24 juli 2024 10:04]

MiesvanderLippe 3 maart 2022 08:32

Tientallen Nederlandse routers, dus niet eens perse een 0-day? Tsja 🤷‍♀️

Saekerhett 3 maart 2022 08:38

Ik ben dan wel benieuwd of dat dan mensen zijn die bijvoorbeeld poortje 80 of 8443 open hebben gezet en de standaard login/wachtwoord niet hebben aangepast, of dat het ook de beter dichtgetimmerde routers betreffen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (142)

Sorteer op:

Weergave: