De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) roept bedrijven op hun security-niveau te verhogen. Dat doet het in samenwerking met veiligheidsorganisaties uit het buitenland. Dit doet de MIVD vanwege aanvallen die Unit 2915 van de Russische inlichtingendienst GRU uitvoert op kritieke infrastructuur.
Volgens de MIVD voert de Russische GRU Unit 2915-eenheid aanvallen uit op westerse overheden en kritieke infrastructuur. Hiermee wil het een beeld krijgen van de westerse hulp aan Oekraïne en deze -waar mogelijk- te verstoren.
Volgens viceadmiraal en MIVD-directeur Peter Reesink is Nederland nog geen slachtoffer geweest van cyberoperaties tegen onze vitale infrastructuur door deze Russische militaire hackers. Wel moet ons land, vanwege de strategische doorvoerhaven die het vormt, wel met deze dreiging rekening houden.
Directe actie noodzakelijk
In het security-alert roepen de diverse veiligheidsdiensten bedrijven op direct, het liefst nog vandaag, maatregelen te nemen. Deze maatregelen zijn onder meer het tijdig installeren van security-updates, het doorvoeren van netwerksegmentatie en het instellen van MFA voor alle via het internet te benaderen diensten. In het laatste geval gaat het daarbij expliciet om webmail, VPN’s en accounts van vitale systemen.
Daarnaast wordt ook aangeraden geautomatiseerde scans op kwetsbaarheden uit te voeren, het blootstellen van makkelijk aan te vallen diensten als e-mail en remote beheerprotocollen te beperken, het beperken of uitschakelen van command line en PowerShell, te monitoren op niet-geautoriseerde inlogpogingen en het identificeren van verouderde of zwakke encryptie.
Aanvalsmethoden Unit 2915
De Russische hackers van Unit 2915 maken sinds januari 2022 onder andere gebruik van de WhisperGate-malware. Hierbij gaat het vaak om aanvallen op kwetsbaarheden in onder meer Atlassian Confluence Server en Data Center, Sophos Firewall en IP-camera’s van fabrikant Dahua.
Daarnaast gebruiken de hackers publieke tooling, zoals Shodan, voor het vinden van kwetsbaarheden in IoT-devices. Ook loggen proberen zij met standaard gebruikersnamen en wachtwoorden in te loggen op IP-camera’s en proberen zij afbeeldingen en andere inloggegevens te stelen.
In het advies, dat door meerdere westerse veiligheidsdiensten wordt ondersteund, zijn ook zogenoemde Indicators of Compromise, waaronder misbruikte IP-adressen, gebruikte tooling en werkwijzes, beschikbaar. Hiermee kunnen bedrijven zelf bekijken of zij het slachtoffer van de hackpogingen van de GRU zijn geweest.
Lees ook: Nederland laat zes Russische hackers op Europese sanctielijst zetten