Microsoft en VS: vitale infrastructuur aangevallen via Fortinet-apparatuur
Vitale Amerikaanse infrastructuur is het doelwit van een groep aanvallers die via Fortinet FortiGuard-apparaten toegang weet te krijgen, zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend. Zodra de aanvallers toegang hebben compromitteren ze routers in het netwerk van de aangevallen organisaties om hun verkeer te verbergen. Onder andere routers van Asus, Cisco, D-Link, Netgear en Zyxel zijn bij de waargenomen aanvallen gecompromitteerd.
Volgens Microsoft, die de groep Volt Typhoon noemt, gaat het om een statelijke actor die vanuit China opereert. Het techbedrijf geeft echter geen verdere details om dit te onderbouwen. De groep zou sinds halverwege 2021 vitale infrastructuurorganisaties op het eiland Guam en andere plekken in de Verenigde Staten hebben aangevallen. Mogelijk heeft de campagne als doel om tijdens toekomstige crises in de Aziatische regio vitale communicatie-infrastructuur te verstoren, stelt Microsoft. Het techbedrijf staat echter met "moderate confidence" achter dit motief.
Zodra de aanvallers toegang hebben gekregen maken ze gebruik van "living off the land" technieken om onopgemerkt te blijven. Aanvallers maken dan geen gebruik van malware, maar bestaande functionaliteit van het besturingssysteem die vaak wordt gebruikt voor beheer en onderhoud. Naast Microsoft kwamen ook de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Cyber Security Centres van Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk met een gezamenlijke advisory over de aanvallen.
In die advisory staat vooral het gebruik van living off the land-technieken centraal en worden indicators of compromise (IoC's) gegeven waarmee organisatie kunnen controleren of ze ook zijn gecompromitteerd. De overheidsdiensten stellen dat de spionagegroep de gebruikte technieken ook tegen andere sectoren wereldwijd kan inzetten. Verder bevat de advisory advies om aanvallen te voorkomen, zoals het hardenen van domain controllers, monitoren van event logs en het onderzoek van ongeautoriseerde firewall-aanpassingen.
lekken die men evengoed kan gebruiken.
https://www.nrc.nl/nieuws/2023/05/25/microsoft-door-china-gesteunde-hackersgroep-bespioneerde-kritieke-amerikaanse-infrastructuur-a4165558
ze dat deden. Dat kan vele jaren geweest zijn. Systemen die de hele tijd gepatched moeten worden omdat er lekken in
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.
Lekken in zitten die nog niet bekend zijn? Dat geldt natuurlijk voor alles... duh!
Er wordt hier alleen gebashed op Fortinet maar in de lijst van apparatuur waargenomen staan ook Asus, Cisco, D-Link, Netgear en Zyxel. Veel van deze apparatuur vind je bij particulieren en MKB. Deze hebben vaak zelf niet de kennis of kunde, of een goede ondersteunende IT partij welke dit soort zaken bijhoudt. Daarnaast geldt voor veel apparatuur dat na enkele jaren er geen ondersteuning meer is (ondanks dat het nog perfect werkt).
zaten (ingebouwd waren??) die nog niet bekend zijn, dat is geen echt stevige basis voor security.
Lekken in zitten die nog niet bekend zijn? Dat geldt natuurlijk voor alles... duh!
Hoe weet je nou of een lek wat nog niet bekend is bij de fabrikant, niet bekend is bij de geheime diensten of bij
criminelen? Een lek is een lek, en wie het kennen dat weet je niet. Wel weet je dat je pas weer van dat lek verlost
bent als de fabrikant een patch heeft uitgebracht en die heb je toegepast.
Het is alsof je auto olie lekt maar je weet dat nog niet omdat je nooit kijkt op de plek waar je hem iedere dag parkeert.
De buurman weet dat wellicht wel.
Fabrikanten die armdiep in de structuur van de overheid zitten krijgen altijd een zeer nauwe samenwerking met diezelfde overheid. Dat is logisch. Dat is namelijk het beste voor beide partijen en eigenlijk dus ook voor jou als belastingbetaler.
Het kan, maar meestal niet, ook met functioneel ontwerp van het product te maken hebben. 90% van de gevallen is inderdaad het niet (op tijd) patchen/upgraden.
Fabrikanten die armdiep in de structuur van de overheid zitten krijgen altijd een zeer nauwe samenwerking met diezelfde overheid. Dat is logisch. Dat is namelijk het beste voor beide partijen en eigenlijk dus ook voor jou als belastingbetaler.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
