Expert: zo bleven TU/e-hackers dagenlang onder de radar

Nu de TU Eindhoven een rapport heeft gedeeld over hoe de cyberaanval van januari is verlopen, weten we dat hackers via gelekte accounts zijn binnengekomen. En dat ze al dagenlang onopgemerkt toegang hadden tot het systeem. Hoe bleven zij zo lang onder de radar? En zijn er manieren om hackers eerder te detecteren? We vroegen het cybersecurityexpert Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity.

Hoe kan het dat de hackers al dagenlang onopgemerkt in het systeem zaten?

“Zodra een hacker binnen is, doet hij één ding vaak heel goed: niets opvallends. Hij gedraagt zich als een gewone gebruiker, kijkt rustig rond, oriënteert zich. Wat is er interessant? Waar ligt waarde? Pas later volgt actie. Het is alsof iemand ongemerkt je huis is binnengelopen, stilletjes in een kast is gaan zitten en ’s nachts je kamers doorzoekt. 

Je kunt een hacker detecteren — maar dan moet je wel weten waar je op moet letten. En vooral: actief jagen in plaats van alleen verdedigen. Daar zijn speciale detectie- en responsoplossingen voor. Dit geeft IT-beheerders inzicht in de gebeurtenissen op een computer, zoals scripts die zijn uitgevoerd. Je krijgt inzicht in gedragspatronen: wie logt wanneer in, vanaf welke locatie? Maar technologie alleen is niet genoeg. Medewerkers moeten ook getraind zijn om er mee te werken.” 

Zouden bedrijven en instellingen meer actief moeten jagen op hackers?

“Dat zouden ze zeker moeten doen. Een nieuwe regelgeving, de NIS2, verplicht ook dat bedrijven detectie- en responsoplossingen toepassen. De NIS2 geldt alleen voor maatschappelijk kritieke organisaties. Denk aan energie- en waterbedrijven, overheidsinstanties en de levensmiddelensector. Deze regelgeving geldt dus niet voor iedereen, terwijl het wel heel belangrijk is dat elke organisatie, groot of klein, goed beschermd is.”

In het TU/e-rapport stond ook dat de hackers cruciale gegevens konden opvragen van een domain controller. Wat betekent dat?

“De domain controller is een centrale server binnen een computernetwerk. Deze server is verantwoordelijk voor de authenticatie van gebruikers en apparaten: hij controleert of een gebruikersnaam en wachtwoord kloppen en kan mensen toegang geven tot specifieke mappen, printers of gedeelde schijven. Je kan de domain controller zien als de ‘king of the castle’; een cruciale plek waar je een hacker absoluut niet wilt hebben. Wie deze server weet over te nemen, heeft in principe overal toegang. Ze kunnen wachtwoorden wijzigen, zichzelf toegang geven tot systemen, en zichzelf onzichtbaar maken in het netwerk.”

Om andere organisaties de kans te geven te leren van deze cyberaanval, stelt de TU/e de onderzoeksrapporten beschikbaar. Goede zaak? 

“Absoluut. Als je naar deze situatie kijkt, zie je dat het uiteindelijk draait om menselijke fouten. Met het delen van dit rapport stelt de universiteit zich behoorlijk kwetsbaar op. Anderen kunnen daarvan leren. Bovendien kunnen andere organisaties ook veel opsteken van wat er juist wel heel goed is gegaan bij het handelen van de TU/e. Het netwerk is razendsnel offline gehaald. Daardoor is voorkomen dat ransomware zich verspreidde of data werd gestolen. De zogeheten incident respons was uitstekend.”