BORG-OSC heeft ruim 170 IT professionals aan het werk, allemaal met kennis en ervaring op het gebied van IT infrastructuur. Ieder met een unieke expertise binnen dit vakgebied. Wat maken zij mee? Welke opdrachten doen ze? Hoe ziet een werkdag eruit? Hier lees je hun verhalen.

Vandaag het verhaal van één van onze Senior Infra Specialisten die bij zijn opdrachtgever te maken kreeg met een cyberaanval.

 

 

Maandagochtend 05:45 uur, in de tweede week van de schoolvakantie……een por in mijn rug. Nog eentje maar dan iets harder. Op de achtergrond hoor ik “Imperial March” uit Star Wars. Langzaam maar zeker word ik wakker en besef ik dat er iets mis is. Die por in mijn rug komt van mijn vrouw, ze heeft in de gaten dat ik wakker word en moppert “Je telefoon gaat nu al voor de derde keer over, iemand heeft je nodig lijkt het.” Ja, dat idee begon ook ergens in mijn slaperige hoofd boven te komen. Ik grabbel naar de telefoon, kijken wie er belt. Een Nederlands telefoonnummer, maar niet bekend in mijn contacten. Nou ja, als het de derde keer is (zelfs slaperig geloof ik mijn vrouw) zal het wel belangrijk zijn. “Goedemorgen” mompel ik. Aan de andere kant van de lijn komt: “Hey goedemorgen, fijn dat ik iemand van het Windows team aan de lijn heb. We proberen al een tijdje mensen van jouw team te bereiken. Oh ja, met Roger van Security. We hebben een issue en we hebben nu mensen met Windows kennis nodig om verder uit te zoeken wat er mis kan zijn gegaan.” Nog geen halve seconde later zijn de stofwolken uit mijn hoofd verdwenen en begrijp ik dat er geschakeld moet worden. Ik loop zo zacht als ik kan de trap af en kruip achter mijn laptop, terwijl ik ondertussen luister naar Roger die verteld wat er aan de hand is.

 

Roger (hoofd IT Security) weet me te vertellen dat het NOC vannacht wat verdachte activiteiten voorbij zag komen in de monitoring. Via een account met meer rechten is er ingelogd op een terminal server, waarna er verdachte software is gedownload. Vlak daarna zag NOC dat er met datzelfde account werd geprobeerd de Active Directory uit te lezen via die software. Het NOC (van een externe partij) heeft hierop direct contact opgenomen met de securitymedewerker van dienst, die de ernst van de zaak direct doorhad. Hij schakelt daarop direct hulp in. Nadat de uitleg is geweest, krijg ik te horen dat er een ad-hoc Teams meeting is over 15 minuten, om iedereen op de hoogte te brengen van de huidige situatie.

 

De externe partij geeft aan wat zij hebben zien gebeuren en wat zij vermoeden dat er aan de hand is. Kort samengevat: “Het bedrijf wordt aangevallen door hackers. De activiteiten die gevonden werden, tonen aan dat het dezelfde hackers zijn die een half jaar eerder meerdere bedrijven hebben platgelegd door de back-ups te verwijderen en alle data te versleutelen. Security en netwerkbeheer hebben op de firewall het verkeer naar de server waarop de hacker is ingelogd, geblokkeerd. Hiermee is de hacker dus (in ieder geval tijdelijk) afgesloten.”

 

De meeting is gestart om te kijken wat de vervolg stappen zijn. Gelukkig is bekend wat de meest gebruikelijke vervolgstappen van deze groep hackers is, zodat we relatief snel weten wat we moeten doen om te zien of we een groot probleem hebben, of dat we het hebben kunnen isoleren.

De belangrijkste stappen:

1. Controleren of er van meer accounts wachtwoorden gelekt of achterhaald kunnen zijn;
2. Eventueel gecompromitteerde accounts blokkeren, zodat deze niet meer gebruikt kunnen worden;
3. Controleren van de integriteit van onze fileservers (zijn er al bestanden versleuteld, of is de ransomware daar al aan begonnen);
4. Controleren van de integriteit van onze back-ups, hebben we nog back-ups, kunnen we de back-ups restoren en is de data dan nog bruikbaar;
5. Is het gecompromitteerde account vannacht op andere servers geweest, zo ja, is daar iets gebeurd wat niet door de beugel kan?

Tijdens de meeting is het lijstje van gecompromitteerde accounts al samengesteld. Naast het gebruikte account is er nog één account waar de hacker iets mee heeft willen doen, alleen is van dit account geen succesvolle login poging terug te vinden. Ik heb de accounts geblokkeerd en voor de zekerheid het wachtwoord gereset met een niet te onthouden combinatie tekens (ergens tussen de 25 en 30 karakters).

 

Volgende stap, de fileservers. De externe partij geeft aan dat de monitoring geen vreemde dingen meldt. Het lijkt er dus op dat de fileserver nog niet benaderd is. Voor de zekerheid de eventlogs nagekeken en gezocht naar de twee accounts. Beiden zijn (gelukkig) niet terug te vinden in de audit logs. Maar toch, we controleren of er data encrypted is. Willekeurig klikken we op een aantal mappen en proberen daar bestanden te openen. Dat lukt zonder enige problemen. We zien dat de bestanden in orde zijn, en sluiten de documenten zonder de inhoud te lezen.
Een zoektocht naar nieuw aangemaakte bestanden (vanaf een uur voordat de hack gedetecteerd werd tot nu, inclusief zoeken in zip-, gearchiveerde en verborgen bestanden) levert geen enkel nieuw bestand op in de fileshares. Dat is gezond. Ze hebben dus ook geen data weggeschreven op de fileserver. De meeste medewerkers loggen echt pas na 08:00 uur ’s ochtends in, dus we zitten ook daar veilig.

 

De back-ups, hoe is het daar dan mee gesteld. Er lopen nog wat back-ups, maar dat is gebruikelijk. De eerste actie is om een bestand van de terminal server te restoren. Omdat dit een jumpstation voor enkele beheerders is, stonden er op de D-schijf wat scripts en documenten. Die dan maar eens proberen te restoren, naar een andere locatie en openen in kladblok. Alles ziet er leesbaar uit, geen gekke dingen.

Mijn directe collega, die een half uur na mij aanschoof, heeft ondertussen één ander systeem gevonden waar het gecompromitteerde account op actief is geweest. Niet verrassend is dat de Remote Desktop Gateway Server. Van deze en de terminal server wordt een kopie gemaakt (lang leve virtualisatie) en de data wordt op een USB-disk gekopieerd. Voor mij het perfecte moment voor ontbijt.

 

08:30 uur. Een nieuwe meeting, waarbij management ook is aangeschoven. Nogmaals een korte uitleg van wat er gebeurd is en welke stappen ondernomen zijn. We staan nog steeds in opperste staat van paraatheid. Maar we lijken de boel enigszins onder controle te hebben. We brengen rapport uit van de stappen die vanmorgen zijn uitgevoerd en geven aan wat er nog moet gebeuren. In een half uur tijd is iedereen weer bijgepraat en besluiten we wat er nog meer moet gebeuren. Management geeft aan dat ze graag de betrokken mensen op kantoor willen zien. Met twee kinderen thuis en een vrouw die ondertussen naar haar werk is vertrokken, moet er dus even iets geregeld worden. Een belletje naar mijn schoonmoeder met de uitleg dat ik naar kantoor toe moet, een begripvolle stem die zegt dat ze graag wat extra tijd met haar kleinkinderen wil doorbrengen. Ik geef aan de kinderen door dat ik weg ben en dat oma er aan komt.

 

Eenmaal aangekomen op kantoor, zie ik dat de meeste betrokken mensen in een apart kantoor zitten. Mijn collega Dirk ziet me lopen en seint meteen dat ik daar ook verwacht wordt. De kopie van de twee getroffen servers is ondertussen klaar. Nu moeten we die disk nog bij de externe partij krijgen, zodat zij deze kunnen gaan analyseren. Wat blijkt, het bedrijf zit 20 kilometer van mijn huis vandaan. Helaas net niet op de route tussen werk en huis, maar dat mag de pret niet drukken. Ik kan de disk dus na werktijd afleveren.

 

Ondertussen is de medewerker van wie het account misbruikt is, ook op de hoogte gesteld. We leggen hem uit dat dit naar alle waarschijnlijkheid een zeer gerichte aanval is geweest en dat het domme pech was dat zijn account uiteindelijk misbruikt is. Hem wordt ook niets kwalijk genomen.

 

De volgende stap is natuurlijk onderzoeken wat de hackers nog meer hebben kunnen doen. De logs geven al aan dat de Active Directory leeg trekken niet is gelukt, mede omdat de software die hij gebruikte de door ons ingestelde security-eisen niet kon gebruiken. Dus het onderzoek blijft voorlopig beperkt tot de twee geraakte servers en eventuele accounts die daar op ingelogd zijn geweest. Helaas is een van de twee servers een jumpstation, dat door applicatiebeheer, werkplekbeheer en faciliteiten werd gebruikt. En dat zijn toch ineens heel wat accounts. Het grote geluk is wel, dat de medewerkers van deze afdelingen twee accounts hebben. Een normaal account en een beheer account. We hebben ook duidelijke regels voor de accounts, ieder account moet echt een eigen wachtwoord hebben en gelukkig houden de meeste mensen zich aan deze regels. We besluiten om alle beheer accounts die op de betrokken servers zijn ingelogd te blokkeren en ook hier een willekeurig wachtwoord (in ieder geval tijdelijk) op in te stellen. De betrokken medewerkers worden geïnformeerd en zij kunnen bij ons langskomen om een nieuw wachtwoord in te stellen. De medewerkers die thuis werken, kunnen aangeven wanneer wij contact met ze kunnen opnemen in een videocall. Door een extra controle op hun personeelsnummer en het nummer van de toegangspas voor de deuren (gegevens die we niet zomaar hebben, maar hebben opgevraagd bij HR), weten we zo vrij zeker dat we met de juiste mensen spreken en we hen dus een nieuw wachtwoord kunnen laten instellen.
Onze privacy officer is ondertussen ook op de hoogte gesteld en heeft een voorlopige melding gedaan bij de autoriteit persoonsgegevens. Pas als we duidelijk hebben of er inderdaad persoonsgegevens zijn uitgelezen, wordt de melding definitief gedaan.

 

Zo verloopt de rest van de dag vrij hectisch, er worden telkens toch weer nieuwe dingen gevonden die de alarmbellen doen rinkelen. Gelukkig zijn de meeste dingen vals alarm. Het einde van de middag begint te naderen en ik moet die disk nog afleveren. Tijd dus om in de auto te stappen en de data af te leveren. Een kleine 45 minuten later sta ik bij de balie van het bedrijf dat de data gaat analyseren. Nee, ik mag niet verder dan de balie, iets met een securitybedrijf dat hun werk serieus neemt.

 

IT-security krijgt een kopie van de ontvangstbon, ik krijg een kopje koffie en mag daarna naar huis. Thuis aangekomen, heeft mijn vrouw bijna het eten klaar, dus ik schuif graag aan. Ik vraag aan de jongens hoe het was met oma vandaag en laat mijn vrouw over haar werkdag vertellen. Op de vraag hoe mijn werkdag was, kan ik alleen maar antwoorden dat het druk was en dat deze nog niet voorbij is. Na het eten ga ik weer in mijn werkkamertje zitten, sluit mijn laptop aan en bekijk even in Teams of er nog bijzondere nieuwe dingen zijn gevonden. Ja dus. Het account dat misbruikt was, heeft contact gelegd met alle semi-openbare systemen binnen het bedrijf en dat zijn er toch nogal wat.
De systemen staan aan, omdat dit kiosk systemen zijn, waar maar één applicatie op actief is. We kunnen ze ook niet zomaar uitzetten, omdat er in de avond nog voldoende bezoekers komen, die de schermen nodig hebben. De werkplekken zijn gelukkig wel uitgerust met Defender, dus we kunnen in het security center de logs terugvinden. Dat scheelt weer een powershell script tikken om de logs op die manier te verzamelen. Contact met de externe partij, samen de logs doornemen. Zoeken naar het account, maar ook naar andere stappen die bekend zijn en die passen bij het gedrag van deze hackers. Ook hier niets gevonden.

 

Om 21:00 uur hebben we de end-of-day meeting. De disks van de servers hebben nog niets opgeleverd, de externe partij gaat dit verder onderzoeken. We blijven op code rood staan. Nachtstand op de telefoon dus uit, ringtone iets harder zetten en hopen dat er vannacht niets gebeurt.

 

Dinsdagochtend 06:30 uur, ik word wakker van de wekker. Voor de zekerheid controleer ik mijn telefoon. Nee, ik ben niet gebeld. De mail dan. Nee, geen nieuwe problemen gevonden. De analyse van de servers is voltooid. Behalve de gedetecteerde software die het eerste alarm veroorzaakte, is er verder niets gevonden. Ook zijn er geen persoonsgegevens gelekt. In de eerste meeting van die ochtend schakelen we terug naar code oranje. De dagen erna zijn we druk bezig met de security naar een hoger niveau te brengen. Het jumpstation is uitgezet. De vervangende machine kan alleen via MFA worden benaderd. We gaan nog een paar stappen verder. Iedereen die een tweede account met meer rechten heeft, wordt verplicht het wachtwoord van dat account te wijzigen. Dit forceren we door simpelweg de accounts te blokkeren, de medewerkers ontvangen een mail dat ze via het Windows beheer team een nieuw wachtwoord kunnen instellen (waarbij we weer dezelfde controles uitvoerden als die op maandag).
De toch al relatief strikte Group Policies worden nog strikter afgesteld. De firewall, die eerst werkte op basis van ACL’s voor IP-adressen en reeksen, zullen in de komende periode worden aangepast, zodat we een zero-trust beleid kunnen gaan doorvoeren. Aan het einde van de week is het onderzoek klaar.

 

De conclusie van het onderzoek is duidelijk: de eerste actie van netwerkbeheer (de verbinding tussen het jumpstation en de firewall blokkeren) is kritiek geweest voor het isoleren van de hack. De hackers konden hierdoor niet meer bij dat systeem. De verbinding was geblokkeerd voordat zij gegevens uit onze AD konden doorsluizen, de back-up servers en fileservers waren nog niet achterhaald en de verbinding met de kiosk systemen bleek uiteindelijk een scan op fileshares op die systemen te zijn (die er logischerwijs niet waren). Op vrijdag krijgen we als groep te horen dat we dit weekend nog wel op stand-by moeten staan, omdat dit soort hackersorganisaties graag aanvallen buiten de reguliere werktijden. Gelukkig wordt er niemand gebeld gedurende het weekend.

 

Op maandagmiddag zitten we als groep nogmaals bij elkaar om het rapport door te nemen en nog even als groep te evalueren. Hoewel we soms last hebben van een hokjescultuur, was daar de afgelopen week maar bar weinig van te merken. Iedereen was doordrongen van de ernst van de situatie, iedereen was bereid om even dat stapje extra te doen. Medewerkers wisten elkaar te vinden en de communicatie ging snel en soepel. Aan het einde van de meeting waren we dan ook blij verrast dat er gebak werd afgeleverd en konden we dit succesje met elkaar vieren!

 

Om privacy redenen zijn de namen van betrokkenen in dit verhaal gefingeerd.

 

 

Wat is jouw expertise? Welke opdrachtgever ga jij bijstaan in een noodgeval? Ben je benieuwd wat wij voor jou kunnen betekenen? Of ben je op zoek naar mogelijkheden om je IT carrière een boost te geven? Neem dan contact met ons op. We komen graag met je in gesprek. We zijn altijd op zoek naar IT-talent. Reageer op een van onze openstaande vacatures of kom kennismaken.