De cyberaanval op TU Eindhoven was begin dit jaar groot nieuws. Door de aanval zag de universiteit zich genoodzaakt om een halve week alle interne netwerken offline te halen. Het toonde aan hoe onlosmakelijk een moderne universiteit verbonden is met de IT. Vrijwel geen enkele vorm van onderwijs was nog mogelijk, en studenten verloren kostbare tijd om zich voor te bereiden op tentamens. Pas na vier dagen konden de meeste systemen weer worden aangezet.
In opdracht van de universiteit onderzocht cybersecuritybedrijf Fox-IT hoe de aanval had kunnen plaatsvinden, en welke lessen geleerd kunnen worden van het incident. Het punt van ingang - via malware gestolen inloggegevens van ten minste één medewerker en één student - kwam al vrij snel boven drijven. Toch waren er nog veel vragen, waaronder wie er verantwoordelijk is voor deze aanval. Technische universiteiten, zeker Eindhoven dat zeer nauw verbonden is met ASML, zijn namelijk aantrekkelijke doelwitten voor buitenlandse actoren. Uit het nu gepubliceerde onderzoek blijkt echter dat dit waarschijnlijk niet het geval was.
Het begon op zaterdag 11 januari, rond 22.00. Op dat moment werd door de software die de netwerken van de universiteit in de gaten houdt verdachte activiteit geconstateerd. Ongeveer vijftig minuten later werd op basis van deze detectie contact gezocht met de universiteit, en uiteindelijk de keuze gemaakt om de systemen offline te halen. Op dat moment was ook een alerte IT-medewerker al bezig met het onderzoeken van verdachte activiteit die door automatische systemen gedetecteerd was. Uiteindelijk wordt ruim drie uur later de keuze gemaakt om de stekker uit het gehele netwerk te trekken.
Dat is uiteraard pas het begin. Op zondag om drie uur 's nachts komt het responsteam van Fox-IT bijeen om zo veel mogelijk forensisch bewijs vast te leggen. Wie zat er achter de aanval, hoe lang waren ze actief, tot welke systemen hadden ze toegang en wat was het doel van de aanval? Dat zijn allemaal vragen die beantwoord moeten worden.
Uiteindelijk blijkt dat de aanvaller al enkele dagen bezig is geweest. Er zijn enkele accounts aangemaakt die bijzonder veel privileges op het netwerk hebben. Met deze accounts had de aanvaller vrij toegang tot vrijwel alle vitale systemen. Door het gehele netwerk offline te halen kon in kaart gebracht worden hoe deze toegang gebruikt werd. Uiteindelijk blijkt dat de aanval gedetecteerd kon worden omdat er een poging werd gedaan om met de nieuw aangemaakte accounts de backup-systemen van de universiteit offline te halen.
Dat lijkt de duiden op een ransomware-aanval. Het uitschakelen van backups waarmee een systeem hersteld kan worden geeft aanvallers een veel sterkere positie om te onderhandelen. Doordat de systemen offline zijn gehaald voordat de backups konden worden uitgeschakeld en de vergrendeling kon worden uitgevoerd, is echter voorkomen dat meer schade werd toegebracht.
De conclusie van Fox-IT is dat de aanvaller al eerder bespeurd had kunnen worden met andere detectiemethoden. De aanvaller is uiteindelijk door de mand gevallen door de poging de backup-systemen uit te schakelen, maar had al eerder veel meer schade kunnen aanbrengen door een ransomware-aanval uit te voeren. Betere monitoring van het netwerk had ertoe kunnen leiden dat de aanvaller al eerder in het oog had gelopen. Daarnaast stipt het onderzoek ook het belang van tweefactorauthencatie aan - het eerste inloggen werd gedaan zonder extra authenticatie, waarschijnlijk met een wachtwoord dat was buitgemaakt via het darkweb.
Uiteindelijk kostte de aanval op de TU Eindhoven vooral tijd. De aanvaller slaagde er niet in om daadwerkelijk de systemen te vergrendelen. Dit voornamelijk door de snelle respons nadat de eerste detectie was gedaan, juist midden in de nacht tijdens het weekend. Toch zijn er dus een aantal dingen die beter hadden kunnen gaan - scherpere detectie op activiteit op het netwerk, waarschuwingen bij het aanmaken van nieuwe accounts met grote privileges en het gebruik van tweefactorauthenticatie.