'Zero day-lek in VPN-verbinding gebruikt bij ASML-hack'
De inbraak op het netwerk van chipfabrikant ASML dat het bedrijf eerder dit jaar bevestigde begon met een zero day-lek in een VPN-verbinding bij een moederbedrijf in China, zo liet het KRO-NCRV-televisieprogramma Brandpunt Reporter gisteren weten.
De aanval werd uiteindelijk opgemerkt door een ander moederbedrijf, het Amerikaanse technologiebedrijf Cymer. De monitoringssystemen van dit bedrijf slaan op 4 februari alarm als er van buitenaf wordt geprobeerd om in te loggen op het netwerk, waarbij er tot vijf keer toe een verkeerd wachtwoord wordt ingevoerd. De onderzoekssporen wijzen naar het moederbedrijf van Cymer, het Nederlandse ASML in Veldhoven.
De aanvallers bleken een bestaande accountnaam van een medewerker te gebruiken. Omdat het account dat de aanvallers probeerden ook in gebruik was bij ASML in Veldhoven waarschuwt Cymer het moederbedrijf. Volgens Brandpunt Reporter houdt ASML de inbraak op de IT-systemen in eerste instantie ‘onder de pet’, maar het nieuws lekt uiteindelijk toch uit. Uit onderzoek blijkt dat de inbraak bij het bedrijf via een andere dochteronderneming is begonnen, namelijk Brion Technologies in China. De aanvallers zouden een zero day-lek in een VPN-verbinding van het bedrijf hebben gebruikt om toegang tot het netwerk te krijgen. Eenmaal binnen bij Brion Technologies worden de gebruikersnamen en wachtwoorden van werknemers gestolen.
Met de inloggegevens krijgen de aanvallers vervolgens toegang tot het netwerk van ASML. Daar zoeken ze naar pdf- en doc-bestanden. Verschillende bronnen laten tegenover Brandpunt Reporter weten dat ook de AIVD bij het onderzoek naar de ASML-hack is betrokken, maar dat wil de inlichtingendienst niet bevestigen of ontkennen. In een verklaring eerder dit jaar stelde ASML dat de aanvallers bij de inbraak geen waardevolle informatie hebben gestolen, maar volgens Brandpunt Reporter hadden de aanvallers eerder dit jaar drie dagen volledige toegang tot het netwerk en heeft ASML geen idee of er bedrijfsgevoelige gegevens zijn buitgemaakt, omdat de aanvallers nauwelijks sporen achterlieten.
Ik ben wel overtuigd dat bij veel bedrijven die interessante kennis bezitten wordt ingebroken of dat deze op dit moment criminelen (spionnen) binnen hebben zitten. Dat zal ook voor ASML gelden.
Het item op zich geeft wederom aan dat preventie gevolgd moet worden door detectie en response. De detectie moet wel beter worden en de response moet veel sneller plaatsvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
