Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

KPN-hackers konden verkeer klanten mogelijk onderscheppen

Door , 95 reacties

De hackers die inbraken bij KPN, hebben mogelijk ook ingebroken op een of meer core-routers. Daardoor was het in theorie mogelijk om internetverkeer van KPN-klanten te onderscheppen, maar de aanvallers zouden dat niet hebben gedaan.

KPNDat zegt een bron rond de hackers die systemen van KPN hebben gekraakt tegenover Tweakers.net. De hackers zouden middels een exploit zijn binnengedrongen op een core-router van KPN die wordt gebruikt om het dataverkeer van klanten te routeren. Mogelijk ging het om een zero day: een exploit die nog niet bekend was.

De router van het merk Juniper draaide als besturingssysteem Junos 10.4 R5.5; een verouderde versie van Junos, dat tijdens de hack al op versie 10.4 R8 was aanbeland. Mogelijk was de gekraakte router niet de enige node die kwetsbaar was, zo denkt een andere bron, die bekend is met de materie.

Voor zover bekend is er geen internetverkeer van KPN-klanten onderschept; dat was in theorie echter mogelijk geweest. Wel is de gehackte router gebruikt om verder in het KPN-netwerk binnen te dringen; mogelijk is daarvoor een recent ontdekte kwetsbaarheid misbruikt die het mogelijk maakt om in Junos tcp-verkeer via een ssh-tunnel door te sluizen. Normaliter zou dat op een router in een dergelijke positie niet mogelijk moeten zijn.

Woordvoerster Simona Petescu van KPN wil de beweringen van de bron bevestigen noch ontkennen. "Wij zijn nog volop bezig met het onderzoek naar de hack, dus hier kunnen we niets over zeggen." KPN maakte de hack op zijn systemen donderdag bekend. Tot nu toe was echter nog niet bekend dat er mogelijk ook core-routers gehackt zijn: het bedrijf spreekt enkel over gehackte servers met klantgegevens.

Opvallend is dat op de dag dat KPN de hack bekendmaakte, afgelopen woensdag, een software-update van Junos 10.4 verscheen. Het is niet ongebruikelijk dat de dag dat een hack wordt geopenbaard wordt afgestemd met de leverancier van de software. Of dit echt zo is, is echter onduidelijk.

Volgens de bron, die anoniem wil blijven, is ook geprobeerd om de computer onder te brengen in een botnet. Eerder bleek uit onderzoek van Nu.nl al dat de gehackte server met klantgegevens van KPN verouderde software bevatte en mogelijk ook toegang gaf tot een dns-server. Volgens KPN is er bij de hack geen klantinformatie ontfutseld, maar een bron van Nu.nl beweert 16GB aan informatie te hebben gedownload. Die zou inmiddels weer zijn verwijderd. Wel bevestigde KPN dat InternetPlus Bellen door de hack problemen op had kunnen lopen; dan zouden mensen bijvoorbeeld geen 112 kunnen bellen.

Het is onduidelijk wie er precies achter de aanval zit. Beveiligingsonderzoeker Rickey Gevers stelt aanwijzingen te hebben dat leden van het los-vaste verband Anonymous achter de aanval zitten. KPN werkt samen met onder meer de politie en het Cyber Security Centrum om de hackers te vinden.

Door Joost Schellevis

Redacteur

10-02-2012 • 15:15

95 Linkedin Google+

Lees meer

Reacties (95)

Wijzig sortering
Ook fijn dat de wachtwoorden ook plain worden opgeslagen. IIg als ik via KPN/HI mijn wachtwoord opvraag krijg ik mijn wachtwoord plain teruggestuurd...
En momenteel dus geen verbinding mogelijk met KPN-mail. Leuk maar noodzakelijk
Die DNS storing bij KPN van een paar dagen geleden, zo dat hier mee te maken kunnen hebben?
Dus de hackers dieper zijn binnen gedrongen dan dit?
Of dat daarmee iets afgeluisterd/meegekeken hebben?
ik vraag me af of de gegevens van de KPN dochters ook gelekt zijn.
KPN zal het ontkennen zolang het niet op pastbin staat, maar even goed in de gaten houden dus.
Lijst met KPN gegevens ook via andere website te zien
Is anonymous niet meer een soort woord geworden voor een hacker die anoniem wilt blijven en als aanvulling V for vendetta hoedje opzet?
Wat een sukkelprovider. Jammer dat we het ook hier hebben. Was weer eens het goedkoopste.

Wel grappig om te zien hoeveel mensen een redelijk zwak wachtwoord gebruiken, vaak zo simpel als een postcode :p

[Reactie gewijzigd door Marctraider op 11 februari 2012 01:06]

En dan nog een opmerking, genoemde kwetsbaarheid betreft de CLI van de router, daarmee zou je verder kunnen hoppen naar andere hosts zoals in het artikel staat. Maar klantverkeer loopt door hardware (ASICs) en niet door het OS.
Er zijn wel features zoals sflow sampling om verkeer af te tappen vanuit de ASIC, maar dat staat los van de tcp-forwarding feature van de bij Junos gebruikte SSH server.
om even terug te komen op de 'hack' van de juniper. blijkbaar had KPN een gaapend gat open staan op deze core router. Hoe is het mogelijk dat je vanaf "internet" op deze apparaten kan inloggen?(ik ga daar even vanuit). want de exploit zelf laat dat niet toe.

Ik vermoed eerder dat een designer vergeten is om een optie uit of aan te zetten Waarna men erop kon komen. Hierna kon men via de oudere exploit het interne netwerk op.
1 2 3 4

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*