Zwart, zwart, zwart, zwart, zwart. Een voor een krijgen alle monitors in de kantoortuin zwarte schermen. Er verschijnen rode letters op.
De verwarring is groot. Wat moeten we op ons werk dóén zonder computer? Er ontstaan rijen naar de uitgang, waar medewerkers over de toegangspoortjes heen moeten klimmen – ook de pasjes werken niet meer. Het tafereel speelt zich af op tientallen plaatsen tegelijk. Bedrijven in heel Nederland blijken getroffen.
We dachten dat het niet eens kon. Dat internet uitgevonden was als techniek om zelfs na een kernbom te blijven functioneren. Gerichte verstoring: ja. Totale verstoring: nee.....
Dit artikel is gebaseerd op diverse reconstructies van daadwerkelijke cyberaanvallen, zoals NotPetya en WannaCry in 2017 en de aanval op internetdienstverlener Dyn in 2016. Ook rapporten van cyberveiligheidsbedrijven over internet of things-botnets zoals Hajime en Mirai werden geraadpleegd, net als rapporten en persberichten van de Nationaal Coördinator Terrorismebestrijding en de Duitse geheime dienst BfV.
Onderdelen van het scenario zijn daarnaast besproken met prof. Aiko Pras (Universiteit Twente), Ronald Prins (voormalig directeur cyberveiligheidsbedrijf Fox-IT) en prof. Michel van Eeten (TU Delft). Prins en Pras zijn stellig: internet kan inderdaad grootschalig uitvallen, en als dat gebeurt gaat dat voor enorme ontwrichting zorgen. Aiko Pras denkt dat DDoS-aanvallen veel groter en verstorender zullen worden dan ze tot nu toe zijn geweest.
Ronald Prins vreest vooral voor de gevolgen van onvoorspelbare kettingreacties en voor het maatschappelijke effect van een grootschalige, gecoördineerde aanval op de banken. Beiden zijn zeer bezorgd over hoe Nederland is voorbereid op dit soort scenario’s.
Van Eeten denkt dat internet zo flexibel is dat het niet zo grootschalig en langdurig is uit te schakelen als in dit artikel wordt geschetst. Hij wijst erop dat er jarenlang zorgen waren over grote cascade-effecten bij een eventuele storing van internetknooppunt AMS-IX. Ontregelende kettingreacties bleven vrijwel uit tijdens een storing in 2015.
Surveillanceleverancier NSO Group zou in staat zijn om iPhones zonder interactie van gebruikers met spyware te infecteren en zo volledige controle te krijgen. Afgelopen week werd bekend dat de Pegasus-spyware die de NSO Group aan overheidsinstanties en opsporingsdiensten levert in 45 landen is waargenomen, waaronder Nederland.
In 2016 werd de Pegasus-spyware voor het eerste ontdekt bij een aanval op een mensenrechtenactivist. De activist ontving een sms-bericht met een linkje. Het linkje wees naar een pagina die misbruik maakte van drie onbekende kwetsbaarheden in iOS waardoor de Pegasus-spyware op het systeem kon worden geïnstalleerd. Via de spyware kunnen aanvallers toegang krijgen tot de camera en microfoon, de locatie van het doelwit achterhalen en communicatie via chat-apps zoals WhatsApp en Telegram afluisteren en onderscheppen.
Vice Magazine sprak met een bron die een demonstratie van de NSO Group kreeg. Hij had een iPhone met een buitenlands nummer meegenomen en gaf het bedrijf dit nummer en plaatste de iPhone op een bureau. Na een aantal minuten waren medewerkers van de NSO Group erin geslaagd het toestel zonder interactie van de gebruiker te compromitteren en hadden ze toegang tot alle informatie op het toestel. Ook schakelden ze de microfoon en camera van de iPhone in.
Welke versie van iOS deze iPhone draaide en of die op het moment van de demonstratie volledig was gepatcht wordt niet gemeld. De Pegasus-spyware bestaat ook voor het Android-platform. Hoe de Android-versie wordt geïnstalleerd is onbekend.
De Gegevensbeschermingsautoriteit, de Belgische evenknie van de Nederlandse Autoriteit Persoonsgegevens, heeft goedkeuring gegeven voor een besluit dat politieagenten het recht geeft om op internet te infiltreren.
Dat betekent dat de weg vrijstaat voor lokale en federale politiediensten om via internet contact te leggen met mensen over wie er serieuze aanwijzingen zijn dat ze strafbare feiten plegen. Dit mag alleen als het gaat om verdenkingen van misdrijven waarop minimaal een jaar gevangenisstraf staat. Het gaat bijvoorbeeld om oplichting, zedenmisdrijven, illegale wapenhandel en terrorisme. De bevoegdheid strekt zich ook uit tot infiltreren op het dark web.
In bepaalde situaties mogen de agenten ook de hulp inroepen van niet-politiemensen, zoals hackers. De politiemensen mogen zelf tijdens het infiltreren ook strafbare feiten plegen, zoals extremistische uitspraken doen, bedreigen of illegale bestanden verspreiden.
Volgens de Duitse regering willen de leveranciers van zijn staatsspyware niet dat hun namen bekend worden. Als dat wel gebeurt, zouden de bedrijven hun contract met de Duitse overheid opzeggen. Daarom zegt de regering de namen niet publiek te kunnen maken.
De Duitse site Netzpolitik heeft een verslag van een geheime vergadering van een commissie van de Bondsdag gepubliceerd, waarin een staatssecretaris zegt: "De bedrijven willen niet dat het bekend wordt dat ze met de regering of met de veiligheidsdiensten samenwerken. Gebeurt dat toch, dan zeggen ze hun zakelijke relatie met ons op." .
Vorig jaar bleek dat Duitsland een eigen software wil inzetten die ontwikkelt onder de naam remote communication interception software, oftewel rcis. Die moet bijvoorbeeld ingezet worden om apparaten te infecteren om zo aan informatie te komen. Netzpolitik meldt dat deze nog steeds in ontwikkeling is en dat het BKA daarom momenteel nog steeds de malware van Finfisher gebruikt. Het bedrijf wilde niet reageren op vragen van de site.
In Nederland heeft de Eerste Kamer onlangs voor een wet gestemd die de politie de bevoegdheid geeft om op afstand op apparaten van verdachten binnen te dringen. Daarbij mag de politie ook commerciële hacktools inzetten.
Talos, een cyberonderzoeksorganisatie, heeft een geïnfecteerd netwerk van vijfhonderdduizend routers en opslagmedia in 54 landen ontdekt. Het netwerk lijkt in eerste instantie te mikken op Oekraïne.
Geïnfecteerde machines zouden zichzelf uitschakelen en vernietigen, waardoor de communicatie van complete netwerken in het honderd loopt. Een Amerikaanse rechter in Pennsylvania heeft de FBI toestemming gegeven om een internetdomein over te nemen dat de geïnfecteerde apparaten zou controleren. De apparaten die in het vizier liepen van de hackers komen van een hele reeks fabrikanten, zoals Linksys, Netgear, TP-Link en QNap.
Hoe de malware precies werkt, legt Talos uit op zijn website. Gebruikers die vrezen dat hun router geïnfecteerd is, moeten het apparaat terug op de fabrieksinstellingen zetten en weer opstarten.
Een man is in Den Haag opgepakt, omdat hij websites van bedrijven zou hebben platgelegd met zogenoemde DDoS-aanvallen. Dat deed hij met gekaapte slimme apparaten, zoals bewakingscamera’s die verbinding maken met internet. Het is niet bekend hoeveel sites hij zo heeft aangevallen en platgelegd. Bij zeker drie gedupeerden eiste de man losgeld om een aanval te stoppen.
Hij eiste een bedrag in bitcoins. Een Nederlandse bitcoinbeurs weigerde te betalen. Of de andere slachtoffers op de eis zijn ingegaan, is niet bekend. De politie was de man in mei op het spoor gekomen. Dinsdag 5 december werd de Hagenaar thuis opgepakt.
Onderzoekers hebben een cryptominer ontdekt die de rekenkracht van de computer blijft gebruiken, ook als het browservenster wordt gesloten. Wanneer de gebruiker denkt de browser te sluiten blijft die door een pop-under onder de taakbalk actief. Zodoende kan het script dat de cryptominer aanroept gewoon blijven werken.
De cryptominer in kwestie is een aangepaste versie van de Coinhive-cryptominer. Het gaat om een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.
Naast legitieme websites die cryptominers als alternatief voor advertenties gebruiken, wordt er ook door criminelen misbruik van gemaakt. Ze plaatsen de cryptominer op gehackte websites. Bezoekers van deze websites genereren zo nietsvermoedend, en zonder dat de eigenaar van de website dit doorheeft, inkomsten voor de criminelen. Adblockers kunnen cryptominers blokkeren. De nu ontdekte cryptominer maakt echter gebruik van een specifieke pop-under die is ontwikkeld om adblockers te omzeilen, aangezien die veel lastiger te identificeren is. Deze pop-under wordt door het Ad Maven-advertentienetwerk geladen, die weer code van andere locaties laadt.
De politie Helmond heeft via Facebook gewaarschuwd voor een oplichter die in de regio actief is en mensen via de betaalapp van ABN Amro oplicht.
De man spreekt mensen aan en beweert dat zijn auto stuk is of dat hij zich bij zijn auto heeft buitengesloten en zijn portemonnee in de auto heeft laten liggen. Vervolgens vraagt hij tussen de 70 en 100 euro voor een taxirit. De oplichter beweert dat hij het geld via de betaalapp van ABN Amro meteen kan terugbetalen.
Op de smartphone van het slachtoffer laat de oplichter zien dat hij via de betaalapp het geld plus een bonus van 10 of 20 euro naar de rekening van het slachtoffer overmaakt. Vervolgens toont hij het slachtoffer een screenshot van de overboeking, zo laat de politie weten. Het geld is echter niet overgemaakt.
Er zijn al meerdere aangiftes tegen de oplichter binnengekomen, aldus de politie. Vorig jaar waarschuwde de politie ook al voor deze vorm van oplichting.
