FortiBleed-cyberaanval slaat diep gat in Belgische bedrijfsbeveiliging
De grootschalige internationale cyberaanval 'FortiBleed' heeft een aanzienlijke impact op de Belgische bedrijfswereld. Minstens 270 Belgische organisaties, waaronder advocatenkantoren, lokale overheden en scholen, zijn getroffen. Bij ruim honderd van hen hebben de aanvallers op dit moment nog altijd actieve administratorrechten op de firewall. Dat blijkt uit gezamenlijk onderzoek van het Belgische cybersecuritybedrijf Secutec en de Threat Research Unit van SOCRadar.
FortiBleed geldt nu al als een van de grootste security-incidenten ooit. Wereldwijd zijn er meer dan 75.000 firewalls van fabrikant Fortinet gecompromitteerd en zijn er zo’n 110 miljoen aanmeldgegevens buitgemaakt. De aanvallers, die worden gelinkt aan een strak georganiseerde Russische hackersgroep, wisten via het Fortinet-partnerportaal in te breken. Door inloggegevens van IT-dienstverleners te stelen, kregen zij via een ketenreactie direct toegang tot de netwerken van talloze achterliggende klanten.
Openstaande achterdeuren
De situatie in België is zorgwekkend. Bij 150 van de 270 getroffen organisaties zijn de firewalls nog altijd rechtstreeks vanaf het internet bereikbaar. In 110 gevallen bleken de buitgemaakte administratorrechten van de IT-partner bovendien nog gewoon te werken.
Het succes van de aanval werd mede in de hand gewerkt door gebrekkige securityhygiëne. Secutec stelde vast dat bij geen enkele van de onderzochte firewalls multifactorauthenticatie (MFA) was ingeschakeld. Daarnaast gebruikten IT-partners vaak dezelfde wachtwoorden voor meerdere klanten en draaide 85 procent van de getroffen systemen op verouderde firmware. Op de helft van de firewalls ontdekte Secutec bovendien dat hackers al zelf nieuwe back-upaccounts hadden aangemaakt om hun toegang veilig te stellen.
Nieuw ransomwaremodel
Eenmaal binnen installeren de aanvallers malware onder de naam FortigateSniffer. Daarmee monitoren ze al het netwerkverkeer en onderscheppen ze stilletjes nieuwe inloggegevens. "Waar ransomware-aanvallen vroeger vooral gericht waren op het versleutelen van data, verschuift de focus nu naar het stelen en verhandelen van toegang en gegevens," legt Geert Baudewijns, CEO van Secutec, uit. Deze zogeheten Initial Access Brokerage stelt hackers in staat om gestolen bedrijfsinformatie in een latere fase te gebruiken voor afpersing, of de netwerktoegang door te verkopen op het dark web.
De infrastructuur van de hackers is nog altijd operationeel en eist dagelijks nieuwe slachtoffers. Secutec heeft het Centrum voor Cybersecurity België (CCB) en Europese CERT-instanties ingelicht. Organisaties die gebruikmaken van Fortinet-systemen worden dringend opgeroepen hun firmware te updaten, accounts te controleren en per direct multifactorauthenticatie af te dwingen om de digitale achterdeur te sluiten.
Meer over cybercrime
Over Witold Kepinski
