Enkele Nederlandse rijksorganisaties zijn gecompromitteerd door cybercriminelen via een kritieke kwetsbaarheid in Citrix NetScaler. Minister Van Oosten van Justitie en Veiligheid bevestigt dit in zijn antwoord op Kamervragen, maar deelt geen details over welke specifieke organisaties getroffen zijn.
Nadat sporen van compromissen werden aangetroffen bij meerdere Nederlandse rijksorganisaties, zijn direct maatregelen getroffen om verdere schade te voorkomen. Minister Van Oosten verklaart dat er momenteel nader onderzoek wordt uitgevoerd. “Tot dusver zijn er geen aanwijzingen dat andere overheidsorganisaties zijn gecompromitteerd,” stelt de minister in zijn schriftelijke reactie.
Attributie blijft uitdaging in cyberonderzoek
De vraag wie verantwoordelijk is voor de aanvallen, blijft voorlopig onbeantwoord. Van Oosten benadrukt dat publieke attributie van cyberaanvallen door de Nederlandse overheid altijd moet rusten op “eigenstandige informatie”. Bij de besluitvorming over attributie wegen verschillende factoren mee, waaronder mogelijke diplomatieke gevolgen, effecten op lopend onderzoek en impact op de nationale veiligheid.
Eerder deze zomer werd het Openbaar Ministerie zwaar getroffen door een hack via dezelfde Citrix-kwetsbaarheid. Het OM was gedwongen alle internetverbindingen af te sluiten na waarschuwingen van het NCSC en was wekenlang offline. De gevolgen zijn nog altijd voelbaar en diensten zijn geleidelijk hersteld.
Luister ook onze podcast Techzine Talks over dit onderwerp:
SharePoint-kwetsbaarheden met beperkte impact
De minister geeft in zijn antwoorden ook inzicht in een andere recente beveiligingskwestie. Kwetsbaarheden in de on-premise versie van Microsoft SharePoint Server hebben volgens Van Oosten “slechts beperkt effect gehad op de Nederlandse overheid en samenleving”.
SSC-ICT blokkeerde tijdelijk de samenwerkingsruimten bij rijksorganisaties die gebaseerd waren op SharePoint, maar deze zijn sinds 24 juli weer beschikbaar. Voor medeoverheden lijkt de impact minimaal, aangezien zij voornamelijk de cloudvariant van SharePoint gebruiken, die niet kwetsbaar was voor het betreffende beveiligingslek.
Microsoft heeft de aanvenkelijke cyberaanvallen (waarbij gebruik werd gemaakt van SharePoint-kwetsbaarheden) toegeschreven aan Chinese cyberdreigingen, waaronder Linen Typhoon, Violet Typhoon en Storm-2603.