Hackers infiltreerden op zondag 12 januari het netwerk van TU Eindhoven (TU/e). De universiteit was genoodzaakt het eigen netwerk uit de lucht te halen, waarna het herstel een week duurde. De daders zijn onbekend, maar hun methodiek al wel. Gestolen credentials werden via infostealers bemachtigd. Hoe kan zoiets gebeuren?
TU/e is samen met securitypartij Fox-IT het incident nog aan het onderzoeken. De Volkskrant bericht echter al dat de hackers via gestolen inloggegevens binnenkwamen. De gestolen credentials bleken tevens in criminele data te zitten, waaronder in loggegevens van infostealers. Andere onderwijsinstellingen zijn over deze gang van zaken al op de hoogte gebracht, waardoor de Radboud Universiteit Nijmegen al extra authenticatie toe heeft gevoegd om zich te wapenen tegen cybergevaren.
Vroeg in de ‘killchain’
Hackers proberen continu via allerlei digitale achterdeuren netwerken te betreden. Zero-days (niet eerder ontdekte kwetsbaarheden) en diensten die niet gepatcht zijn, gelden als de meest voor de hand liggende omwegen. Toch koesteren kwaadwillenden een ingang op de rode loper: via legitieme credentials. Deze voordeur van het netwerk biedt aanvallers de mogelijkheid om op eenvoudige wijze gegevens te stelen of te versleutelen.
Maar hoe komen hackers aan credentials? Gokwerk en ontcijfering via brute-forcing zijn te onbetrouwbaar of te traag. Een veel makkelijker pad is het kopen van legitieme inloggegevens via de darkweb. Sites zoals het in 2023 neergehaalde Genesis Market gelden als een soort all-stop-shop voor gevoelige credentials die hackers kunnen opkopen. Toch zitten we dan al wat later in wat Lockheed Martin de “Cyber Kill Chain” noemt; er is eerder al wat gebeurd om de data te compromitteren.
Hoe infostealers werken
Infostealers richten zich op het begin van deze killchain en hebben als doel om gevoelige data buit te maken. Deze gegevens variëren: sommige infostealers zijn enkel uit op creditcard-informatie, terwijl andere de browsergeschiedenis opeisen. In het geval van TU Eindhoven kan het simpelweg gaan om een gebruikersnaam, wachtwoord. Soms is er meer nodig en combineren infostealers inloggegevens met andere details als telefoonnummer, e-mailadres of woonplek.
Deze vorm van malware infiltreert gebruikers via de bekende malware-routes: phishing-mails, kwaadaardige bijlages of gecompromitteerde websites. Securitybedrijf Packetlabs concludeert dat de beste infostealers modulair van aard zijn. Ze scannen eerst de omgeving waarin ze belanden, om later specifieke payloads te installeren. Dit minimaliseert de voetafdruk van de malware, oftewel: er is zo min mogelijk bewijs van het bestaan ervan. ‘Idealiter’ verzendt de infostealer zo klein mogelijke packets over het netwerk aan een Command & Control (C2)-server op afstand met zoveel mogelijk waardevolle digitale goederen.
Hiervoor is nog wel meer werk vereist, zo laat het raamwerk van Lockheed Martin zien. Infostealers kunnen zonder problemen zich vestigen in een systeem, maar moeten ook heimelijk contact kunnen leggen met de servers van kwaadwillenden. Ook gelden ze slechts als een eerste stap in de killchain: backdoors, ongepatchte kwetsbaarheden en zero-days zijn voor verdere exploitatie een vriend van de hacker.
Ze zijn in ieder geval al goed ingeburgerd in Nederland. Meer dan 40.000 Nederlanders, vooral IT’ers, zouden zijn geïnfecteerd erdoor. Dat bleek uit onderzoek van RTL Nieuws. Hiertussen zou zomaar een TU Eindhoven-medewerker hebben kunnen zitten.
Doelwitten
Deze 40.000 Nederlanders valt weinig aan te merken. Immers kunnen infostealers, net als andere malware, op allerlei manieren slachtoffers bereiken. Hun methodes zijn wel sterk afwisselend, met sterk uiteenlopende gevolgen. Zo kan een infostealer informatie stelen via schermopnames, het stelen van toetsenbord-input (keylogging), de overname van een browser, het dumpen van credentials die lokaal zijn opgeslagen, het stelen van e-mails of het monitoren van het klembord. Kortom: zodra een infostealer is geïnstalleerd, zijn er allerlei wijzen waarop data voor het oprapen ligt.
Geen gebruiker is veilig, maar het waardevolst voor hackers zijn de gegevens van leidinggevenden, IT’ers met veel machtigingen in het netwerk en servicing-accounts. Laatstgenoemde data wordt meermaals uit het oog verloren, waardoor detectie niet plaatsvindt of in een veel te laat stadium. Infostealers richten zich eveneens regelmatig op bepaalde waardevolle sectoren, zoals het bankenwezen of, in het geval van TU/e, op high-tech doelwitten. De allereerste prominente infostealer die als zodanig werd omschreven was Zeus in 2007, dat allerlei incidenten van fraude en botnets teweegbracht. Daarbovenop kon het zichzelf vermenigvuldigen en verspreiden, zoals een klassiek virus.
Waarom?
Een recenter voorbeeld van een ‘succesvolle’ infostealer-campagne blijkt uit de zeer uitgebreide lijst aan getroffen Snowflake-klanten in 2024. In de gevallen waar de modus operandi van de aanvallers bekend is, ging het om infostealer-campagnes waarbij inloggegevens zijn buitgemaakt.
Lees verder: Lijst met getroffen Snowflake-klanten sinds Ticketmaster-lek blijft groeien
Het gebruik van infostealers is lucratief voor zowel cybercriminelen als staatsactoren. Ze zijn simpelweg één van de vele instrumenten van digitaal aanwezige aanvallers. CTO bij Google Mandiant Charles Carmakal verwoordt het als volgt: “We hebben natiestaten infostealers zien benutten, we hebben criminelen infostealers zien benutten en we hebben hackgroepen van tieners infostealers zien benutten.”
Vaak niemand gesnapt
TU Eindhoven en Fox-IT weten nog niet wie er achter de aanvallen zat. Mogelijk wordt dat nooit mogelijk, aangezien het door proxy’s uiterst lastig is om te bepalen wie precies het netwerk infiltreert. Wel lopen de makers van infostealers soms tegen de lamp. Zo werd begin vorig jaar een verdachte rondom het beruchte Raccoon Stealer uitgeleverd aan de Verenigde Staten. Dit individu was op het verzoek van de FBI opgepakt.