Het Europese Medicijnagentschap EMA was gehackt door een Russische inlichtingendienst. Dat claimt De Volkskrant op basis van bronnen die betrokken zijn bij de zaak. Ook zet de krant uiteen hoe de Russen de 2fa van de EMA hebben weten te omzeilen en waarom de hack gepleegd werd.

De Volkskrant schreef op zaterdagochtend dat een Russische inlichtingendienst achter de hack van eind 2020 zat. Die slaagde daarin door selecte medewerkers van het Agentschap spearphishing-e-mails te sturen; wie op de link klikte, kreeg spyware op zijn systeem geïnstalleerd. Op die manier konden de Russen bij e-mails van het agentschap, maar nog niet bij het interne netwerk; dat was met tweetrapsauthenticatie beveiligd.

De 2fa werd echter doorbroken toen een medewerker een 2fa-secret als bijlage naar zijn e-mailadres toegestuurd kreeg. De Volkskrant schrijft dat het niet mogelijk had moeten zijn dat de hackers dit 2fa-secret zelf gingen gebruiken voor logins op het interne EMA-netwerk vanaf een eigen apparaat, maar het Agentschap zou die beperking zelf hebben uitgeschakeld.

Uiteindelijk werd de digitale inbraak opgemerkt tijdens een interne audit. De auditors waren niet specifiek naar deze sporen op zoek, maar vonden ze wel: het viel ze op dat een enkele werknemer vaak buiten werktijden inlogde op het EMA-netwerk. Dit bleken dus de Russen te zijn. Hun ip-adressen hadden ze volgens de Volkskrant 'op ingenieuze wijze gemaskeerd'. Al met al konden ze in elk geval langer dan een maand ongestoord inloggen, stelt de krant.

De motivatie voor de digitale aanval zou economische spionage zijn geweest, stelt een van de bronnen. Er zou meer interesse geweest zijn in welke landen welke coronavaccins zouden afnemen, dan in hoe de individuele vaccins werken. Rusland zou dat willen weten omdat het zelf ook een coronavaccin te verkopen heeft, genaamd Spoetnik.

De gelekte interne stukken van het EMA zouden authentiek zijn, maar stukken tekst zouden bij elkaar gezet zijn en titels zouden bijgevoegd zijn door de Russen. Het voornaamste doel van die stukken lekken, is wellicht verwarring zaaien, maar De Volkskrant heeft daar geen verdere, concrete informatie over te bieden.

Opvallend is ook dat De Volkskrant meldt dat een Chinese spionagegroep in het voorjaar van 2020 ook bezig was met digitale inbraakpogingen bij het EMA. De bronnen van de krant 'gaan ervan uit dat ze tot op zekere hoogte succesvol waren en dat de hack maanden duurde', maar concrete gevolgen van deze hack zijn verder niet bekend.

De Britse Competition and Markets Authority laat weten dat het een onderzoek instelt naar Apple en zijn App Store. Dit naar aanleiding van de CMA's eigen vooronderzoek en klachten van ontwikkelaars over de voorwaarden van het platform.

De CMA gaat onderzoeken of Apple een dominante positie heeft op het gebied van iOS- en iPadOS-appdistributie en zo ja, of het oneerlijke voorwaarden oplegt aan ontwikkelaars die op die platformen hun apps willen uitbrengen. Op de eerste helft van dat onderzoek valt een 'ja'-conclusie te verwachten; de marktwaakhond stelt zelf al dat de App Store 'de enige manier is voor ontwikkelaars om apps te distribueren op iPhones en iPads van Apple en de enige manier voor Apple-klanten om er toegang toe te krijgen'.

Een groot deel van de klachten van ontwikkelaars en de zorgen van de CMA komt van het feit dat Apple tot 30 procent commissie rekent voor aankopen op de App Store en binnenin App Store-apps. Dat tarief varieert ook van partij tot partij; Amazon betaalt bijvoorbeeld 15 procent in plaats van 30. Het Zweedse Spotify verkondigt al langer dat Apple bijdraagt aan oneerlijke concurrentie met zijn tarieven.

De dominante positie van Apple met betrekking tot de App Store leidt vaker tot dit soort gevolgen. Een prominent voorbeeld daarvan is de rechtszaak van Epic Games tegen Apple, vanwege het tarief. Reuters schreef echter eerder deze week op basis van anonieme bronnen dat de Europese Commissie de laatste hand aan het leggen is aan een antitrust-aanklacht tegen Apple. Ook daarbij zou het draaien om de dominantie van Apple op de markt voor iOS- en iPadOS-apps. Tot slot doet ook de Nederlandse Autoriteit Consument en Markt onderzoek naar Apples praktijken.

YouTube heeft meerdere kanalen die toebehoren aan het leger van Myanmar, van zijn platform verbannen. Het leger pleegde een staatsgreep op 1 februari en bestrijdt sindsdien burgerprotesten met geweld. Ook wordt iedere nacht het internet afgesloten.

YouTube stelt tegenover Reuters dat het 'een aantal kanalen' heeft geblokkeerd die allemaal toebehoren aan het defensie-apparaat van Myanmar. Het gaat in ieder geval om Myanma Radio and Television, Myawaddy Media, MWD Variety and MWD Myanmar. De kanalen zouden 'in overtreding van YouTube-richtlijnen en toepasselijke wetgeving' zijn. In december had YouTube ook al 34 kanalen verwijderd die hadden gepoogd de verkiezingen van november in het land te beïnvloeden.

YouTube is niet de enige die actie onderneemt tegen de coupplegers. Facebook heeft op 21 februari de Tatmadaw True News Information Team Page van zijn platform verwijderd. Dat is de officiële Facebook-nieuwspagina van het leger van Myanmar. Dat deed het vanwege 'herhaalde schendingen van Facebooks gemeenschapsnormen die het aanzetten tot geweld en het coördineren van schade verbieden'. In reactie daarop is heel Facebook geblokkeerd in het land, wat ook het coördineren van protesten belemmert.

Naast een blokkade op Facebook zijn ook Twitter, Instagram en Wikipedia in het land geblokkeerd. Daarnaast valt iedere nacht de internetconnectiviteit in het land terug tot ongeveer 15 procent van wat gebruikelijk is voor het land. Dat gebeurt nu bijna drie weken lang. Intussen bestrijd de nieuwe regering de protesten ook op straat. Afgelopen woensdag meldde de Verenigde Naties dat er op een dag 38 doden gevallen waren bij demonstraties.

De kwetsbaarheden in zelf gehoste Microsoft Exchange-servers, die door Chinese hackers actief worden misbruikt, hebben volgens security-deskundigen in totaal geleid tot 'honderdduizenden' getroffen systemen wereldwijd. Nieuwe infecties vinden nog steeds plaats.

Brian Krebs noemt twee cijfers in een nieuw rapport: minstens 30.000 Amerikaanse organisaties zijn getroffen in de dagen sinds de patches van 2 maart en de totale schatting van 'honderdduizenden' getroffen systemen wereldwijd komt van twee anonieme security-deskundigen die inlichtingen leveren aan de Amerikaanse overheid. Dat bericht komt ook van Wired, die daarnaast een bron citeert die stelt dat er nog 'wereldwijd duizenden nieuwe servers per uur' getroffen worden door de hackers. Die bron noemt de schaal van de kwestie 'enorm'.

Het gros van de infecties zou nog niet actief uitgebuit worden. De hackers installeren web shells op de servers zodat ze op een later moment, ook nadat de gaten gedicht zijn, nog beheer van de servers kunnen overnemen. Dan kan er weer nieuwe malware, of bijvoorbeeld ransomware, geïnstalleerd worden.

De slachtoffers zijn voornamelijk kleine bedrijven, grote en kleine steden en plaatselijke overheden. De aanvallen zouden na de patches van dinsdag alleen maar frequenter geworden zijn, vermoedelijk om nog te hacken wat er te hacken valt voordat alle organisaties de patches hebben geïnstalleerd. De U.S. Cybersecurity & Infrastructure Security Agency, of CISA, heeft daarom een noodbevel afgegeven waarin het alle federale Amerikaanse organisaties opdraagt om updates op hun Exchange-servers door te voeren of hun servers los te koppelen van het internet. De CISA-director van het Witte Huis stelde op vrijdag dat men 'ervan uit moet gaan' dat hun systemen getroffen zijn, als ze de betreffende versies draaien en de patches niet hebben geïnstalleerd.

Die getroffen versies zijn Exchange Server 2013, 2016 en 2019. Daarin zitten vier kwetsbaarheden die toegang verlenen tot e-mailaccounts en het systeem zelf. Dat nieuws kwam afgelopen dinsdag uit, ten tijde van de Microsoft-patches. Het bedrijf wijdde een uitgebreide blogpost aan de kwetsbaarheden, hoe ze uitgebuit worden en hoe systeembeheerders de exploit kunnen detecteren. Microsoft schrijft de exploits 'met grote zekerheid' toe aan de Chinese hackersgroep Hafnium.