Weert geeft virusscanner schuld van Dorifel-uitbraak
De uitbraak van het Dorifel-virus die vorig jaar bij de gemeente Weert plaatsvond was de schuld van een falende virusscanner, zo beweert de gemeente. In iBestuur, een magazine voor bestuurders, beslissers en beleidsmakers binnen de publieke sector, wordt een reconstructie van de infectie gegeven en hoe er binnen de gemeente Weert met het besmette netwerk werd omgesprongen.
Dorifel wist zo'n 3.000 systemen bij Nederlandse gemeenten en andere instellingen te infecteren. De malware verminkte en versleutelde Word- en Excelbestanden en werd geïnstalleerd door de Citadel Trojan die al zeker een maand op deze systemen actief was.
Updates
Citadel verspreidt zich voornamelijk via drive-by downloads. Het gaat dan om aanvallen (exploits) die misbruik van bekende beveiligingslekken maken. Dat betekent dat gebruikers of systeembeheerders de beveiligingsupdates om deze lekken te verhelpen niet hebben geïnstalleerd. In de reconstructie van Weert komt het woord beveiligingsupdate of patch geen enkele keer voor.
De gemeente wordt tijdens een vergadering door een ICT-adviseur gewaarschuwd dat er een virus op het netwerk zit. De adviseur wil weten of de gemeente het netwerk actief plat legt en of Weert het nieuws naar buiten brengt.
Virusscanner
"We hebben de ICT’er direct bestookt met vragen. Wist hij meer over het virus? Hadden we dan geen actuele virusscanners? Zag hij een andere oplossing dan het netwerk uitschakelen? Al snel wisten we dat er maar één besluit mogelijk was. Het virus was nog onbekend, kon om die reden door de scan komen en verspreidde zich verder als het netwerk aanstond. We hebben daarom direct gehandeld", zegt Myriam Meertens, locogemeentesecretaris en leidster van het crisisteam.
Een half uur na het besluit gaat er een mail uit naar alle medewerkers van de gemeente. Iedereen moet uitloggen en mag de pc niet meer gebruiken. Daarna moet besloten worden welke back-up veilig is om terug te zetten "We wisten dat de back-up van de vorige dag zeker geïnfecteerd was. We kozen het zekere voor het onzekere. We gingen voor de back-up van vrijdag", aldus Meertens
Restore
Met ingehuurde experts werd gewerkt om besmette bestanden in quarantaine te plaatsen, nieuwe besmettingen te voorkomen en het terugzetten van de back-up (restore) van vrijdag voor de virusinfectie om de systemen voor te bereiden op een nieuwe opstart. Uiteindelijk blijkt deze restore te mislukken.
Een dag later wordt een nieuwe restore gedaan. Die mislukt, doordat één van de schoon geachte computers toch geïnfecteerd blijkt te zijn. Uiteindelijk worden alle systemen hersteld en kan Weert beginnen met de dienstverlening aan burgers, die wegens de malware grotendeels onmogelijk was. "Ga er maar van uit dat een virus ook een keer in uw organisatie gaat binnendringen", waarschuwt Meertens.
Update: typo verholpen
Dit bevestigd de nog steeds aanwezige incompetente mensen .....
Een dergelijke infectie op een dergelijk schaal getuigd van mismanagement op het gebied van IT. Een dergelijke besmetting had makkelijk voorkomen kunnen worden wanneer men degelijk IT-management en beheer zou uitvoeren, dit behoort namelijk tot de basis van de beheersactiviteiten. De gemeente kan daarom ook beter de schuld bij de systeembeheerders leggen en deze vervangen door professionals i.p.v. de virusscanner de schuld te geven.
Zo expert waren deze experts dus niet ;)
Scanners kunnen nu eenmaal niet alles tegenhouden en de Citadel trojan was nogal een vervelend beestje (weet ik uit eigen ervaring.
IT beheer is gedeeltelijk verantwoordelijk als indrdaad het netwerk niet up to date was.... maar ik lees niets over de gbruikers... want die hadden blijkbaar genoeg rechten om Citadel uit te voeren, zal wel een ambtenaar zijn geweest die op porno sites mag komen ivm zijn werk :)
En ach ja experts kunnen ook wel eens een steekje laten vallen.
Dit bevestigd de nog steeds aanwezige incompetente mensen .....
Een dergelijke infectie op een dergelijk schaal getuigd van mismanagement op het gebied van IT. Een dergelijke besmetting had makkelijk voorkomen kunnen worden wanneer men degelijk IT-management en beheer zou uitvoeren, dit behoort namelijk tot de basis van de beheersactiviteiten. De gemeente kan daarom ook beter de schuld bij de systeembeheerders leggen en deze vervangen door professionals i.p.v. de virusscanner de schuld te geven.
Zo expert waren deze experts dus niet ;)
Ik ben het met je eens dat de aanwezigheid van botnetactiviteit al veel eerder opgemerkt had kúnnen worden. Maar het is wel erg kort door de bocht om te roepen dat dergelijke systeembeheerders hun werk niet goed doen en maar vervangen moeten worden door professionals. Klopt, het hoort bij beheeractiviteiten. Maar bij hoeveel bedrijven zitten deze activiteiten ingebakken in het dagelijks werk? Ik durf te stellen dat het vies tegenvalt...
Het 'mooie' van Citadel (en eigenlijk alle hedendaagse malware) is dat het ook werkt als de gebruiker geen systeemrechten heeft. Dus deze rechten afnemen helpt eigenlijk weinig. De malware kan zijn werk doen uit naam van de gebruiker dus het beperken van de gebruikersrechten op de file shares had in het geval van Dorifel sowieso geholpen.
Hoe voeren ze software meteen al met systeemrechten uit zonder als gebruiker te beginnen?
Het uitvoeren van software die op gebruiker-schrijfbare locaties staat is simpel te blokkeren.
Dus een exe downloaden met een exploit erin die de rechten verhoogt daar kom je er niet mee.
En wat dacht je dan te beperken aan gebruikersrechten? Ik neem toch aan dat de gemiddelde
netwerkbeheerder de rechten al zodanig ingesteld heeft dat gebruikers alleen bij de directories mogen
waar ze uit hoofde van hun functie moeten zijn. Wat is de mogelijkheid om dat verder te beperken?
En natuurlijk is het zo dat het artikel in iBestuur een versimpelde versie van de werkelijkheid weergeeft. Daarmee doen we niets af van de kwaliteit van het interview, maar er zijn uiteraard meer afwegingen gemaakt, kritische vragen gesteld etc. die te ver voerden om het verhaal bondig en aantrekkelijk te houden. En hoewel er uiteraard leerpunten zijn, concludeert het instituut voor veiligheids- en crisismanagement (COT) die we Weerter aanpak evalueerde, dat de crisis goed is aangepakt. Er is lof voor de crisisorganisatiestructuur, de systematische aanpak en de actieve, transparante communicatie van de gemeente Weert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
