image

Minister: door MIVD aangetroffen malware was nog niet bekend bij partners

woensdag 7 februari 2024, 17:14 door Redactie, 9 reacties

De malware die de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) vorig jaar op FortiGate-apparaten van Defensie aantrof was nog niet bij partners bekend, zo heeft demissionair minister Ollongren van Defensie in een brief aan de Tweede Kamer laten weten (pdf). Volgens de bewindsvrouw is het bestaan van de malware nu pas bekendgemaakt, omdat er 'grondig en zorgvuldig' onderzoek nodig was om uit te zoeken van wie de malware afkomstig is.

"Dit is de eerste keer dat de MIVD een technisch rapport over de werkwijze van Chinese hackers openbaar maakt. Zo draagt Defensie bij aan het verhogen van cyberweerbaarheid", aldus Ollongren. Ze laat weten dat China’s cybercapaciteiten significant zijn. "De MIVD wijst er in de jaarverslagen op dat Nederland doorlopend wordt geconfronteerd met digitale aanvallen, uitgevoerd door landen met een offensief cyberprogramma, waaronder China, Rusland, Noord-Korea en Iran."

Wat betreft de aangetroffen malware heeft de MIVD samen met het Nationaal Cyber Security Centrum (NCSC) kenmerken ervan met relevante nationale en internationale partners in het cybersecuritydomein gedeeld. "Tot dan toe waren de kenmerken van de malware nog niet bekend bij partners", laat Ollongren weten. De MIVD vraagt organisaties die de malware op hun apparatuur aantreffen om zich te melden bij het NCSC. "Zo kan de Chinese spionagecampagne worden tegengegaan", besluit de minister.

Reacties (9)
07-02-2024, 19:00 door Anoniem
Daarom zou defensie altijd (zonder uitzondering) transparante FOSS software moeten gebruiken en de code zelf auditen, ik doe dit zelf ook, waarom defensie dit niet lukt is mij een raadsel...
Ik ben zelf altijd zeer secuur wanneer het aankomt op het installeren van software op zowel mijn (GrapheneOS zonder Google) telefoon als PC. (GNU+Linux)
Cloud services vermijd ik als de pest, voor permanente belangrijke opslag gebruik ik offline 100GB M-Discs met versleutelde data, en offline herschrijfbare opslag SSDs met versleutelde data.
Als ik naar buiten ga met mijn telefoon zet ik GrapeneOS op een tweede profiel ("buitenprofiel") waar geen privedingen opstaan, het hoofdprofiel staat dan in BFU-modus (at rest) en vereist een wachtwoord om aan te melden.
Zelfs als een ontsloten telefoon uit mijn handen wordt gegrist is mijn privedata veilig.
Waarom defensie is godsnaam (Chinese) proprietaire software gebruikt gaat me volledig voorbij, ik zou me schamen als ik dit mezelf zou aandoen.
Ook met FOSS kan wat misgaan, maar het is in ieder geval geen zwarte doos en de code kan gereviewed en vergeleken worden.
Bij vrije software bezit men deze volledig zelf, bij commerciele software moet men een terms and agreements ondertekenen om het te mogen gebruiken/huren.
En bij het aanmelden van accounts van diensten van derden kan het Nederlandse leger worden afgekeken via sleepwetten van de NSA en dergelijke (vijandelijke) geheime diensten. (Die nemen immers alle info van derden, zie de thirth party doctrine)
Dus ook "onschuldige" software afgenomen via goedkope contracten met Microsoft e.d.
Bron:
https://en.m.wikipedia.org/wiki/Third-party_doctrine
Hopelijk kan men bij defensie hier wat van leren.
Airgapped systemen hebben ze wel goed gedaan.
07-02-2024, 19:38 door Anoniem
Ollengren mag iets zeggen, wat al twee jaar bekend was.
07-02-2024, 21:00 door Anoniem
Zijn ze nu allemaal zo dom of hoe zit het? Het gaat er niet om wie die malware heeft gemaakt! Dat is niet verboden toch?. Het gaat er om wie die software heeft gebruikt. Zo werkt het met ransomware as a service ook,
Anders zouden er al heel wat leveranciers van wapens zijn aangeklaagd.

Dit is de eerste keer dat de MIVD een technisch rapport over de werkwijze van Chinese hackers openbaar maakt.
Het is helemaal niet aangetoond in het rapport van de MIVD dat Chinese hackers verantwoordelijk zijn. Kom op met de bewijzen!!
07-02-2024, 23:01 door Anoniem
Door Anoniem: Zijn ze nu allemaal zo dom of hoe zit het? Het gaat er niet om wie die malware heeft gemaakt! Dat is niet verboden toch?. Het gaat er om wie die software heeft gebruikt. Zo werkt het met ransomware as a service ook,
Anders zouden er al heel wat leveranciers van wapens zijn aangeklaagd.

Dit is de eerste keer dat de MIVD een technisch rapport over de werkwijze van Chinese hackers openbaar maakt.
Het is helemaal niet aangetoond in het rapport van de MIVD dat Chinese hackers verantwoordelijk zijn. Kom op met de bewijzen!!

Via de zijde-route, en dat gaat over handel, denk aan het Chinese 'durfkapitaal' dat Europese bedrijven in naam liet bestaan, zoals de belangrijkste haven van Griekenland, maar ook een bedrijf als de Hema, in de naweeen van de economische crisis 2008-2014. Bewijzen kan ook secundair, de mond praat wie hem voedt, en dat is in deze kwestie bedenkelijk. MIVD brengt iets naar buiten, meer is het niet.
08-02-2024, 08:53 door karma4
Door Anoniem: Daarom zou defensie altijd (zonder uitzondering) transparante FOSS software moeten gebruiken en de code zelf auditen, ik doe dit zelf ook, waarom defensie dit niet lukt is mij een raadsel...
Ik ben zelf altijd zeer secuur wanneer het aankomt op het installeren van software op zowel mijn (GrapheneOS zonder Google) telefoon als PC. (GNU+Linux) ....
Aparte afdeling met niet zulke bijzondere gevoelige taken. Ging om 50 doosjes. Nee als die zo zouden moeten werken als jij voorstelt dan kunnen ze niets meer doen aan hun werk. Denk je echt dat er maar 50 man bij defensie werken?

Opvallend dat gebeuren met fortinet, het is een specfiek beveiligingsbedrijf. Er zal wel veel van FOSS software gebruik gemaakt zijn. De basis van controleren is hun bedrijfsmodel https://www.fortinet.com/ toch is daar wat mis gegaan.
Je kan de tijd ook besteden om naar tandenborstels te gaan kijken. Java en open source
08-02-2024, 09:31 door Xavier Ohole
Door Anoniem: Daarom zou defensie altijd (zonder uitzondering) transparante FOSS software moeten gebruiken en de code zelf auditen, ik doe dit zelf ook, waarom defensie dit niet lukt is mij een raadsel...

Zonder meer correct, deze observatie! Propriëtaire software - met name die van fabrikanten die voornamelijk inferieure consumentenproducten leveren - is écht not done. Zeker niet wanneer er gevoelige data of kritische systemen in het spel zijn.
08-02-2024, 12:19 door Anoniem
Door karma4:
Door Anoniem: Daarom zou defensie altijd (zonder uitzondering) transparante FOSS software moeten gebruiken en de code zelf auditen, ik doe dit zelf ook, waarom defensie dit niet lukt is mij een raadsel...
Ik ben zelf altijd zeer secuur wanneer het aankomt op het installeren van software op zowel mijn (GrapheneOS zonder Google) telefoon als PC. (GNU+Linux) ....
Aparte afdeling met niet zulke bijzondere gevoelige taken. Ging om 50 doosjes. Nee als die zo zouden moeten werken als jij voorstelt dan kunnen ze niets meer doen aan hun werk. Denk je echt dat er maar 50 man bij defensie werken?

Opvallend dat gebeuren met fortinet, het is een specfiek beveiligingsbedrijf. Er zal wel veel van FOSS software gebruik gemaakt zijn. De basis van controleren is hun bedrijfsmodel https://www.fortinet.com/ toch is daar wat mis gegaan.
Je kan de tijd ook besteden om naar tandenborstels te gaan kijken. Java en open source
Iedere keer weer blijken de kritieke problemen in de gesloten software te zitten van Fortinet, Citrix, VMware, Microsoft en nog wat 3party supply chain. Als er dan eens een probleem zit in door Fortinet, Citrix etc gebruikt open source java tool zoals Log4j blijkt de impact minimaal te zijn.
08-02-2024, 13:33 door walmare
Defensie is niet zo stom om die Fortigate voor de hele wereld (incl China) open te zetten, maar alleen voor die paar gebruikers vanaf een bepaald IP adres.
Het echte verhaal is dan waarschijnlijk dat het hele consumentennetwerk is gehackt omdat die 50 werkplekken elke maand kritisch lek blijken te zijn volgens patch Tuesday.
De Fortigate Coathanger malware is vervolgens binnengeharkt op een van die consumentensystemen (staging server). Vandaar uit is die Fortinet bestookt en het Trojaanse paard geïnstalleerd. Daarnaast is de kans groot dat de AD bind gebruiker admin rechten had op die Fortigate en zo een hele userlisting gedownload kon worden van de AD server (volgens het mivd rapport).
Een losstaand netwerk is ook niet helemaal de waarheid. Men durft dat te zeggen omdat het netwerk is gesegmenteerd. Het betekent nog steeds dat er poorten open staan. Waar komen de patches, antivirus, dns queries, etc vandaan en hoe? Misschien staat de gehackte AD server wel in een ander netwerk (best waarschijnlijk).

Ik heb het gevoel dat ons niet alles is verteld en dat Microsoft defensie heeft gevoed om dit op deze manier naar buiten te brengen, want Microsoft adviseert en beheert via partners? de ICT van defensie en heeft behoefte haar eigen straatje schoon te vegen na al die exchange en 365 ellende.
Opvallend is ook dat medewerkers zelfs vanaf hun niet door defensie beheerde thuispc gebruik mogen maken van Microsoft Teams! https://www.defensie.nl/binaries/defensie/documenten/publicaties/2020/03/26/handleiding-microsoft-teams-defensie/Handleiding+Microsoft+Teams+Defensie_web.pdf
08-02-2024, 17:32 door Anoniem
Door walmare: Defensie is niet zo stom om die Fortigate voor de hele wereld (incl China) open te zetten, maar alleen voor die paar gebruikers vanaf een bepaald IP adres.
Het echte verhaal is dan waarschijnlijk dat het hele consumentennetwerk is gehackt omdat die 50 werkplekken elke maand kritisch lek blijken te zijn volgens patch Tuesday.
De Fortigate Coathanger malware is vervolgens binnengeharkt op een van die consumentensystemen (staging server). Vandaar uit is die Fortinet bestookt en het Trojaanse paard geïnstalleerd. Daarnaast is de kans groot dat de AD bind gebruiker admin rechten had op die Fortigate en zo een hele userlisting gedownload kon worden van de AD server (volgens het mivd rapport).
Een losstaand netwerk is ook niet helemaal de waarheid. Men durft dat te zeggen omdat het netwerk is gesegmenteerd. Het betekent nog steeds dat er poorten open staan. Waar komen de patches, antivirus, dns queries, etc vandaan en hoe? Misschien staat de gehackte AD server wel in een ander netwerk (best waarschijnlijk).

Ik heb het gevoel dat ons niet alles is verteld en dat Microsoft defensie heeft gevoed om dit op deze manier naar buiten te brengen, want Microsoft adviseert en beheert via partners? de ICT van defensie en heeft behoefte haar eigen straatje schoon te vegen na al die exchange en 365 ellende.
Opvallend is ook dat medewerkers zelfs vanaf hun niet door defensie beheerde thuispc gebruik mogen maken van Microsoft Teams! https://www.defensie.nl/binaries/defensie/documenten/publicaties/2020/03/26/handleiding-microsoft-teams-defensie/Handleiding+Microsoft+Teams+Defensie_web.pdf

Voor passende vergoeding past Microsoft op de thuiscomputer van medewerkers.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.