Axis Communications, leverancier van beveiligingscamera's en andere security-oplossingen, is onlangs slachtoffer geworden van een cyberaanval waardoor het zich genoodzaakt zag het volledige netwerk offline te halen. Volgens Axis wisten aanvallers in de nacht van zaterdag 19 februari op zondag 20 februari door middel van social engineering in te loggen als een gebruiker, ook al werd er gebruik gemaakt van beveiligingsmaatregelen zoals multifactorauthenticatie.
Zodra de aanvallers waren ingelogd wisten ze door "geavanceerde methodes" hun rechten te verhogen en kregen uiteindelijk toegang tot directory services. Een detectiesysteem waarschuwde it-personeel voor verdacht gedrag, waarop een onderzoek werd gestart. Op zondagochtend 20 februari besloot het it-management externe security-experts in te schakelen.
Die bevestigden dat aanvallers toegang tot de netwerken van de camerafabrikant hadden gekregen. Daarop werd besloten om de netwerktoegang wereldwijd offline te halen zodat de aanvallers geen toegang meer hadden. De maatregel zorgde er ook voor dat Axis-personeel geen toegang meer had tot e-mail en partnerdiensten en extranetten onbeschikbaar waren.
Uit onderzoek bleek dat delen van de serverinfrastructuur waren gecompromitteerd. De dagen na de aanval wist Axis de meeste diensten te herstellen. Wat betreft de services die vanaf het internet toegankelijk zijn draait het bedrijf in een "beperkte modus". Dit zal blijven zolang het forensisch onderzoek loopt en de opschoon- en hersteloperatie is afgerond. Volgens Axis heeft dit een zeer beperkte impact op klanten en partners.
Bij de aanval zijn geen servers versleuteld. Wel is er malware aangetroffen en aanwijzingen dat directory services zijn gecompromitteerd. Verder zijn er geen aanwijzingen dat de aanvallers klantgegevens hebben buitgemaakt. Axis stelt dat de algehele schaamte en het productiviteitsverlies groter zijn dan de aangerichte schade.
Hoe de aanvallers precies toegang wisten te krijgen wordt niet door Axis verteld. Wel laat de camerafabrikant weten dat de aanvallers verschillende manieren van social engineering gebruikten om toegang te krijgen. Om de kans op menselijke fouten te verkleinen en herhaling in de toekomst te voorkomen zijn er verdere technische beveiligingsmaatregelen genomen. Iets wat voor een "minder soepele werkflow" zorgt, aldus Axis in een post mortem van de aanval.
Deze posting is gelocked. Reageren is niet meer mogelijk.