Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

OZON 2018 - Een kijkje achter de schermen bij een grote 'cyberincidentoefening'

06-10-2018 • 09:00

24 Linkedin Google+

Een blik achter de schermen

In de ochtend van donderdag 4 oktober vindt een phishingaanval plaats op medewerkers van bij SURF aangesloten, Nederlandse instellingen, zoals universiteiten, hogescholen, onderzoeksinstituten en medische centra. Ontvangers van de mail wordt gevraagd in te loggen en een update te downloaden. In werkelijkheid gaat het daarbij om malware, die het werk is van een aanvaller die zichzelf de naam NLNetNeutrality heeft gegeven. Daarachter gaat Koen schuil, eigenaar van een hostingbedrijf met twijfelachtige klandizie. Hij is onlangs in het vizier van de fictieve organisatie Mailhaus gekomen, een organisatie die zich via onder meer blocklists inzet voor de bestrijding van spam, malware en phishing. Daardoor verdwijnen de klanten van Koen, die zijn frustratie botviert op SURFnet, een van de sponsors van Mailhaus.

SURF is een samenwerkingsverband van Nederlandse onderwijs- en onderzoeksinstellingen op het gebied van ict, waarbij SURFnet zich bezighoudt met de onderliggende infrastructuur van het netwerk. Zo is er ook een eigen SURFcert, dat onder meer incident response biedt bij internetaanvallen.

De malware van Koen is tweeledig. Zo worden er aan de ene kant bestanden versleuteld en worden deze bestanden tegelijkertijd verzonden naar een command and control-server van Koen. Bovendien heeft hij met zijn phishingaanval inloggegevens van medewerkers buitgemaakt, waardoor hij onder andere toegang heeft tot de contentmanagementsystemen van de verschillende instellingen.

Om tien uur 's ochtends worden de eerste effecten van de aanval merkbaar. Er verschijnen bijvoorbeeld nieuwsberichten op de websites van verschillende instellingen, nadat bezoekers de sites in eerste instantie niet langer konden bereiken. In de berichten wordt verwezen naar Mailhaus, dat met zijn activiteiten in het vaarwater van legitieme bedrijven terecht zou komen. Een uurtje later beginnen medewerkers te merken dat ze bepaalde bestanden niet langer kunnen openen, doordat deze versleuteld zijn.

Tegelijkertijd worden de nieuwsmedia wakker en worden getroffen instellingen gebeld met vragen over de verschenen nieuwsberichten en over berichten op Twitter van studenten en medewerkers die hun zorgen uiten over de ontstane chaos.

Uitdaging

Al deze gebeurtenissen zijn onderdeel van een grote 'cybercrisisoefening' die is georganiseerd door SURF onder de naam OZON 2018, waaraan twaalfhonderd mensen bij ongeveer vijftig instellingen deelnemen. Dat betekent dat er niet daadwerkelijk bestanden worden versleuteld, maar dat er wel 'malware' is ontwikkeld die bijhoudt hoeveel bestanden in theorie versleuteld hadden kunnen zijn. Zo stond de teller 's middags bij de meeste instanties op tienduizenden bestanden. Ook verschijnen er niet daadwerkelijk nieuwsberichten en andere defacements op de verschillende sites.

Bij SURF aangesloten instellingen konden zich daar vrijwillig voor de oefening aanmelden. Het brein achter de oefening, Charlie van Genuchten, zegt tegen Tweakers: "Het is de bedoeling van de oefening om zowel iets technisch uitdagends neer te zetten als iets wat je naar boven toe moet escaleren. Dat is het allermoeilijkste aan deze oefeningen, dat je niet iets bedenkt waarbij iemand denkt: 'Ik zet deze back-up terug en het is klaar' of: 'Ik escaleer naar communicatie en die handelen het verder wel af'. Dat is dan ook het meest uitdagende om te vinden en dat is wat je wilt trainen, omdat het het vaakst ergens in de communicatieketen misgaat."

Ze voegt daaraan toe dat het de bedoeling is dat op hoog niveau beslissingen worden genomen, bijvoorbeeld niet alleen over de zwart-witte vraag of er voor ontsleuteling van de bestanden moet worden betaald, maar ook wat het betekent als er informatie online komt te staan en wie vervolgens moet worden ingelicht. De oefening kent namelijk nog meer elementen die de deelnemende organisaties op de proef moeten stellen.

Zo is het mogelijk om bestanden te ontsleutelen voor het bedrag van ÚÚn euro in bitcoin. De volgende betaalt echter vijfduizend euro en elke opvolgende versleuteling kost steeds het dubbele. Hierdoor ontstaat de vraag of het wel verantwoord is om zelf tot ontsleuteling over te gaan en anderen meer te laten betalen, en of het wel kan om met publieke middelen dit soort criminaliteit te financieren. Om twee uur 's middags had nog niemand voor ontsleuteling betaald, maar de organisatie liet doorschemeren nog wel een 'bommetje' te kunnen plaatsen door bijvoorbeeld een docent te laten betalen voor decryptie van zijn eigen bestanden om door te kunnen werken. Er is ook een site in de lucht waarop de hacker, NLNetNeutrality, bijhoudt hoeveel bestanden per instelling zijn versleuteld. Daarnaast plaatst hij daar periodiek berichten, zoals het bericht dat hij buitgemaakte documenten zal gaan publiceren als niet aan bepaalde eisen wordt voldaan.

'De realiteit' voor deelnemende instellingen bestaat tijdens de oefening uit een dashboard waarop gesimuleerde tweets en nieuwsberichten worden getoond. Schermen met deze dashboards staan in een grote zaal op het SURF-hoofdkantoor, dicht bij Utrecht Centraal. Dat fungeert op de donderdag tijdens de oefening als co÷rdinatiepunt. Er is een kamer met 'simulanten', die in de loop van de dag tientallen telefoongesprekken voeren waarbij ze zich voordoen als journalisten van verschillende media. Ze bellen met de daadwerkelijke woordvoerders van de deelnemende instellingen.

Om drie uur 's middags ontstaat er grote blijdschap in het SURF-kantoor, omdat een van de instellingen losgeld heeft betaald. Op navraag bleek dat dit door een van de mollen was gedaan en dat de vreugde ermee te maken had dat dit een onderdeel van de oefening was dat iedereen graag in vervulling zag gaan. Van Genuchten legde uit dat hiermee de lijn die de instellingen hebben getrokken, dat er niet wordt betaald, op de proef wordt gesteld. Rond de late middag werden ook al de eerste verschillen met de oefening uit 2016 duidelijk. Van Genuchten wees erop dat de verschillende organisaties beter met elkaar samenwerkten en een gezamenlijke communicatie opzetten. Ook op technisch vlak werd veel meer gedeeld. Aan de andere kant duurde het deze keer lang voordat mensen duidelijkheid wisten te krijgen over wat er precies gaande was en bleven ze onder meer hangen in details die in de werkelijkheid helemaal geen grote crisis zouden vormen.

Ransomware zonder versleuteling

Over de technische kant van de oefening was nagedacht, bleek uit gesprekken met aanwezigen. Zo werden betalingen door instellingen bijvoorbeeld niet gesimuleerd, maar moesten er daadwerkelijk bitcoins worden overgemaakt. Daarvoor was wel een alternatieve koers bepaald, dus er werden geen duizenden euro's aan bitcoins overgemaakt. Er werd per instelling bijgehouden of er een betaling had plaatsgevonden en door het gebruik van bitcoins kon iedereen zien dat dat het geval was.

Bij de 'malware' die via de phishingsite werd verspreid, ging het om daadwerkelijke software waarvoor van tevoren eisen waren opgesteld. Zo mocht de software zichzelf niet automatisch starten, moest van tevoren een audit van de broncode mogelijk zijn, mocht de software geen informatie laten uitlekken over bestanden en systemen, en moest het onmogelijk zijn om arbitraire commando's uit te voeren via de software. Deze stond namelijk wel degelijk in verbinding met een command and control-server, waarop onder andere werd bijgehouden hoeveel bestanden waren 'versleuteld'.

Dat gebeurde dan ook niet echt, maar er werd wel bijgehouden welke bestanden niet langer toegankelijk waren. Deze regels waren nodig, omdat de software onder meer terecht zou komen op de systemen van medische instellingen. Ook al ging het dan niet om daadwerkelijke malware, her en der sloegen wel antivirusprogramma's aan. Doordat in elke organisatie enkele 'mollen' waren ondergebracht, kon deze programma's echter het zwijgen worden opgelegd.

Er waren ook andere, kleinere scenario's bedacht, bijvoorbeeld voor minder grote instellingen. Die moesten een telefoon op hun netwerk opsporen die door iemand voortdurend werd verplaatst. Een ander subscenario had te maken met achtergelaten usb-drives die door een beveiliger werden gevonden. Daarbij stond de vraag centraal wat vervolgens met die drives moet gebeuren.

Oefening baart kunst

Erwin Bleumink

Op de ochtend dat de oefening van start ging, sprak Tweakers met de algemeen directeur van SURFnet, Erwin Bleumink. Op de vraag waarom SURFnet de rol van organisator op zich heeft genomen, zegt hij: "Wij zijn de samenwerking op digitaal gebied van onderzoeks- en onderwijsinstellingen in Nederland en wat we daar zien, is dat we in geval van crisis voorbereid moeten zijn op hoe we moeten handelen. Veel van onze leden zijn wel heel actief met allerlei andere crisissen tot op bestuursniveau te oefenen, neem een gebouwbrand, maar op cybergebied was dit tot een aantal jaar geleden onderontwikkeld." Bovendien zou een 'cybercrisis' wat andere elementen bevatten, bijvoorbeeld dat deze al gauw een campus overstijgt of dat deze zich rap uitbreidt.

Een van de verwachtingen van Bleumink was dat de aan de oefening deelnemende instellingen te maken zouden krijgen met een hoge complexiteit, doordat een 'sectorcrisis' samenvalt met een aanval op ict-systemen. Over de aanleiding voor de oefening zegt hij: "Er vinden dagelijks aanvallen plaats en we weten dat in operationele zin ook goed af te vangen zonder dat er iets gebeurt." Als voorbeeld verwijst hij naar ddos-aanvallen. "Wat we zien is dat zodra dat soort aanvallen wordt gecombineerd met activisme, je ook tegen ethische vraagstukken aanloopt. Bijvoorbeeld hoe we omgaan met de privacywetgeving nu datalekken een grotere impact hebben en veel aandacht vragen. Daar moeten we ook op voorbereid zijn. Dat betekent ook dat je het niet alleen operationeel kunt afhandelen en dat het vervelend is dat een dienst het niet doet, maar dat ook imagoschade een rol kan spelen en dat de privacy van mensen in gevaar kan komen. Dus dat zijn vragen die continu opkomen."

Volgens Bleumink speelt ook mee dat de instellingen een grote studentenpopulatie hebben, die in een fase zit waarin uitproberen een grote rol speelt. Daarnaast speelt activisme een rol, waarvoor volgens de directeur ruimte moet zijn, maar wat de veiligheid van de rest van de mensen niet in gevaar mag brengen.

Jacco Neleman, woordvoerder van de Erasmus Universiteit Rotterdam, zei op vrijdag na een eerste evaluatie dat voor de universiteit het testen van de weerbaarheid een van de doelstellingen was en dat men er met betrekking tot de ransomware-infectie 'snel in is geslaagd om het probleem te tackelen'. Hij beaamde dat er 'hele dichte lijnen' tussen de instellingen waren en dat er geen twijfel bestaat over het nut van dit soort oefeningen. "Door dit regelmatig te doen ben je beter voorbereid."

Reacties (24)

Wijzig sortering
Ik was deelnemer als technisch security specialist binnen het CERT (organisatie doet er niet toe).
De oefening zat goed in elkaar, ook op technisch gebied was er genoeg uitdaging te vinden.
Wel heel jammer als de oefening leiding al je recovery oplossingen (die in de praktijk gewoon werken) afkeurt om je bijna te dwingen te betalen om je waardevolle data terug te krijgen.
Zeer leerzaam en hopelijk volgend jaar weer.
Klinkt idd alsof er goed over de oefening is nagedacht en dat er veel potentiele leerpunten inzitten. Goed om te lezen dat het ook een keer goed kan gaan in de IT
Misschien was het wel de bedoeling om je voor het morele dilemma te zetten om een keuze te maken tussen betalen of je verlies nemen. Niet iedereen heeft de luxe van een tussenoplossing en wat doe je dan als het geen oefening is. Nu is ook aantoonbaar te maken hoe waardevol de oplossingen zijn waarbij niet betaald hoeft te worden?
Het was wel grappig om de mol te mogen zijn. :) :+

[Reactie gewijzigd door PizZa_CalZone op 7 oktober 2018 01:56]

je wil niet weten in hoeveel bedrijven backups nooit geverifieerd worden, of je zal maar bepaalde documenten hebben die nog niet gebackupped waren (wat vaak 's nachts of 's avonds wordt gedaan na de werkuren). In die zin snap ik de insteek wel, maar het geeft een vertekend resultaat van de realiteit en zorgt voor een foute voorstelling van hoe goed veel bedrijven hun IT op orde hebben.
Dit is wel een hele vage oefening en het artikel mist nogal wat details.
Het hele verhaal klinkt meer als een marketing stunt.

Hoeveel organisaties deden mee?
Hoeveel organisaties zijn ge´nfecteerd?
Hoeveel bestanden zijn ge´nfecteerd ? (overal / per organisatie)
Wat was de response tijd ? (overal / per organisatie)
Hoe snel was de infectie opgelost? (overal / per organisatie)
Sidenote: Gezien bestaande recovery procedures niet mochten worden toegepast, zal dit waarschijnlijk oneindig lang zijn. Dit maakt de hele oefening dus sowieso al onbruikbaar.

Hoeveel key figures waren er per organisatie ge´nfecteerd? (e.g mensen met de juiste credentials)
Hoe kan het zijn dat deze mensen hun credentials zo maar uit handen gaven? (e.g ongetraind / ongeschoold in phising / nieuwe werknemer / waren t werknemeners die te hoge rechten hadden)

Waar kwam de screenshot vandaan?
Wat stond er in de phishing mail en hoe zag de phishing website eruit?
Ik vermoed dat een deel van die cijfers gewoon nog niet bekend zijn. En heb geen idee of ze bekend gemaakt gaan worden.

Bij onze organisatie waren er 2 mollen voor zover ik weet. En deze mollen met rechten gaven fake non-admin credentials uit via een fishing mail die er professioneel uitzag met een inlog op een website. Het hele process is immers een simulatie. Netzoals de fake-malware die veilig gedraaid moest worden op een random server. Als mol ben ik niet betrokken geweest bij het troubleshooting proces dus daar kan ik weinig over kwijt. Sowieso hou ik het bewust een beetje vaag want hoewel ik geen NDA heb moeten tekenen lijkt het me handig dat niet alle methodes op straat komen te liggen voor een eventuele OZON 2019. Dit kan ook een reden zijn waarom het artikel niet de diepte in gaat.

Tevens moet ik aangeven dat binnen onze organisatie het erop leek dat de nadruk van deze oefening meer werdt gelegd op het proces dan het tackelen van het specifieke issue. Iets wat absoluut een goede crisisoefening is voor als er echt stront aan de knikker is. De recovery processen zijn immers vaak reeds beschreven, getest en geaccepteerd. Het trainen van crisismanagement is dan erg welkom.

[Reactie gewijzigd door PizZa_CalZone op 8 oktober 2018 03:29]

Grappig dat ze hier weer fundamentalisme koppelen aan grondrechten ('meningsuiting') :+ Het gezonde verstand is kennelijk niet meer wat het geweest is :Y)

>> Leuk doodshoofdje maar wßßrom nu weer zoiets voor ieders toekomst belangrijks als NetNeutraliteit associŰren met je wij-tegen-de-gekkies oefening. Ik stoor mij hieraan. NetNeutraliteit is een Nettiquette, een sociale norm op het internet. Alles is gelijk in de nota bene -publieke ruimte- die het internet heet en bedrijven maken er dus niet de dienst (service) uit.

En dan dat doorzichtig framen steeds - maak dan gewoon reclame in de zendtijd voor politieke partijen. 'Hoi! Dit is de VVD(!), en VNO-NCW zegt dat(puntje drie onderaan ;) ) wij tÚgen NetNeutraliteit zijn. Mensen die vˇˇr [anti-JouwFavoSocialeMedium] zijn, dat zijn gekkies en bovendien staatsgevaarlijke hackers. Dat zeggen toonaangevende cyber-geoefende experts (nu) ook. De VVD wenst u een prettige en vooral VEILIGUH dag verder.'

[Reactie gewijzigd door BStorm op 6 oktober 2018 17:22]

Je staat nu op -1 maar je maakt een goed punt(in het 1e stukje), de naam van de "hackgroep" is niet echt goed gekozen en kan er voor zorgen dat de deelnemers netneutraliteit als iets negatiefs gaan zien.
Het 2e stukje, tja, je hebt het niet zo heel erg op de VVD begrijp ik :-D
Mwah, VVD is de eerste de beste waar ik van wist dat de hypothese ervoor zou opgaan. Andere partijen misschien ook wel, maar da's voor mij inderdaad iffy. Enfin, ik zal het eerste stukje nog eens los reposten, kijken wat daarmee gebeurt dan :Y)

Met dank voor je observatie!
Het was een zeer goed opgezette oefening die we vaker zouden moeten doen om voorbereid klaar te staan wanneer het een keer echt uit de hand loopt.
Interessant stuk! Goed dat dit soort oefeneningen worden gedaan.
Had de oefening ook mee moeten draaien, ware het niet dat ik zelf met een hardnekkig virus kamp waar geen antivirussoftware op van toepassing is of betaling in bitcoin en het is weg 8)7 zal volgende week wel bijgepraat worden als het viri me lichaam uit is.
Die schadevergoeding increments zijn dan wel weer heel erg wie is de mol ;)
Grappig dat ze hier weer fundamentalisme koppelen aan grondrechten ('meningsuiting') :+ Het gezonde verstand is kennelijk niet meer wat het geweest is :Y)

>> Leuk doodshoofdje maar wßßrom nu weer zoiets voor ieders toekomst belangrijks als NetNeutraliteit associŰren met je wij-tegen-de-gekkies oefening. Ik stoor mij hieraan. NetNeutraliteit is een Nettiquette, een sociale norm op het internet. Alles is gelijk in de nota bene -publieke ruimte- die het internet heet en bedrijven maken er dus niet de dienst (service) uit.

* Edit: Deze zonder (schijn van!) vooringenomenheid jegens deze of gene politieke partij.

[Reactie gewijzigd door BStorm op 6 oktober 2018 19:08]

Wacht even, elk stuk bedoel je? Ik lees in het artikel niks over fundamentalisme, grondrechten of netneutraliteit.
Aii, ik lees dit nu pas.. je hebt inmiddels gesnapt waar ik op doelde neem ik aan.

Anders een extra duiding van [MrRobot] hier
Die extra duiding is niet overdreven duidelijk maar ik denk dat ik het nu begrijp: Je bedoelt dat het framing is om de naam van de fictieve aanvaller NLNetNeutrality te noemen :) Nu vat ik 'm.
Dit is wel een hele vage oefening en het artikel mist nogal wat details.
Het hele verhaal klinkt meer als een marketing stunt.

Hoeveel organisaties deden mee?
Hoeveel organisaties zijn ge´nfecteerd?
Hoeveel bestanden zijn ge´nfecteerd ? (overal / per organisatie)
Wat was de response tijd ? (overal / per organisatie)
Hoe snel was de infectie opgelost? (overal / per organisatie)
Sidenote: Gezien bestaande recovery procedures niet mochten worden toegepast, zal dit waarschijnlijk oneindig lang zijn. Dit maakt de hele oefening dus sowieso al onbruikbaar.

Hoeveel key figures waren er per organisatie ge´nfecteerd? (e.g mensen met de juiste credentials)
Hoe kan het zijn dat deze mensen hun credentials zo maar uit handen gaven? (e.g ongetraind / ongeschoold in phising / nieuwe werknemer / waren t werknemeners die te hoge rechten hadden)

Waar kwam de screenshot vandaan?
Wat stond er in de phishing mail en hoe zag de phishing website eruit?
Jammer dat ze dit gebaseerd hebben op een daadwerkelijke case.....

Iemand die in Spanje gearresteerd is..... (o.a. cyberbunker)

Maakt het daardoor allemaal ongeloofwaardig scenario is.
Alleen maar goed om realistisch te trainen. Heb vaak genoeg dit soort cert-oefeningen gedaan vanuit de overheid en dit zou ik leuk gevonden hebben.
Wait, explain for me:
Waarom is het een ongeloofwaardig scenario als het zoals jezelf aangeeft gebaseerd is op een daadwerkelijke case...
Als men daarvan kan leren, of heel maybe he, de casus iets tweakt zodat het niet meer om een "blaaskaak zonder skills" gaat...

Lijkt het me geen slecht plan om een bestaande casus na te bootsen. Echter hoe realistischer wil je het hebben dan een herhaling van geschiedenis?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True