Dat is te lezen in het technische rapport van cybersecuritybedrijf Fox-IT, dat de universiteit bijstond tijdens de cyberaanval en onderzoek deed naar de toedracht. Het bedrijf kon niet achterhalen wie de aanval pleegde en of dat het een enkeling of meerdere mensen betrof, maar heeft wel alle gangen kunnen nagaan. Duizenden keren per dag proberen hackers bij de universiteit binnen te dringen. Op 11 januari van dit jaar lukte dat. Om de gevolgen te beperken haalde de universiteit het netwerk offline. De hacker was op dat moment al zo ver doorgedrongen in het netwerk, dat die theoretisch op elk moment ransomware had kunnen loslaten op het TU/e systeem.

Hoogste rechten

Uit het onderzoek blijkt dat iemand al vijf dagen voor de aanval met gestolen inloggegevens via een VPN-verbinding (virtueel privénetwerk) het netwerk in was gekomen. Toen hij op zaterdagavond de aanval eenmaal inzette, kon hij door centrale servers – zogenoemde domaincontrollers – voor de gek te houden, inloggen met elk gewenst account. Hij koos een account met de hoogste rechten in het systeem en begon vanuit daar voorbereidingen te treffen voor de aanval. Hij kreeg toegang tot het volledige netwerk van de TU/e.

Opvallend is volgens Chief Information Security Officer (CISO) Martin de Vries dat de aanvaller vervolgens met veel bombarie een tool installeerde op de domaincontrollers, waardoor bij de universiteit alle alarmbellen afgingen. “Het is alsof hij de deur intrapte. Ik had verwacht dat hij langer onder de radar had willen blijven.” De actie, die doet vermoeden dat de hacker het nog aan enige vaardigheden ontbrak, stelde de cyberbeveiligers van de TU/e in staat om zijn activiteiten te verstoren. “Helaas voor volgende slachtoffers zal hij daarvan geleerd hebben.”

Vanaf het moment dat de beveiligers zijn aanwezigheid opmerkten, leek de aanvaller volgens De Vries vooral bezig om ervoor te zorgen dat zij hem niet het systeem uit zouden zetten. Ondertussen probeerde de hacker onder meer de back-upoplossing van de universiteit uit te schakelen. Dat was echter niet de reden om het netwerk offline te halen. “We kregen hem simpelweg niet te pakken, daarom moest het netwerk offline.” Dat hadden ze volgens de CISO ook geen uur later moeten doen, want dan was het waarschijnlijk te laat geweest. “Het was kantje boord.”

Kwetsbaarheden

De aanval legt drie kwetsbaarheden bloot, die nu geheel zijn dichtgetimmerd. Zo wist de universiteit al voor de cyberaanval dat er inloggegevens op het darkweb stonden. De medewerkers en studenten die het betrof, waren gevraagd hun wachtwoord te veranderen, maar voerden als nieuw wachtwoord het oude, gecompromitteerde wachtwoord opnieuw in. “Dat hadden we technisch niet goed dichtgezet”, aldus de CISO. Nu is het niet meer mogelijk om oude wachtwoorden opnieuw te gebruiken.

De aanvaller kon daarnaast binnenkomen via een VPN-verbinding, omdat daarvoor geen multifactorauthenticatie (MFA) nodig was. “We hadden al op de planning staan dat die tweestapsverificatie er zou komen. Voor de zomer zouden we het gaan implementeren”, vertelt De Vries. Dat was dus net te laat. Inmiddels is de VPN van MFA voorzien. En dan is er nog de DCSync-attack, het trucje waarmee de hacker de centrale servers voor de gek hield. Hij liet die servers denken dat ze data (in de vorm van versleutelde wachtwoorden) met zijn eigen server mochten delen. Ook dat is niet meer mogelijk, de drie betreffende servers wisselen echt alleen onderling nog data uit.

Een andere zwakke plek waar de TU/e zich sinds de aanval meer bewust van is, heeft te maken met verouderde systemen waar onderzoekers soms mee werken. Om met die verouderde systemen te kunnen communiceren, moeten de servers waar de hacker nu alle inloggegevens uit wist te onttrekken met verouderde protocollen werken. “Daar moeten we uiteindelijk wel van af”, zegt De Vries. “Een mogelijke oplossing is om geïsoleerde netwerken te creëren en een firewall te plaatsen tussen die netwerken en het centrale systeem.”

Cultuurverandering

De reden dat er nu nog wel met oude systemen en protocollen gewerkt wordt, heeft volgens vicevoorzitter van het College van Bestuur Patrick Groothuis te maken met de cultuur binnen de universiteit. “In die cultuur willen wij als organisatie graag de wetenschappers helpen hun onderzoek goed te kunnen doen. We zijn daarbij in dit geval kennelijk onvoldoende scherp geweest op wat de risico’s waren van het toelaten van die oude systemen in het centrale netwerk.” De universiteit zou volgens hem “strakker en zakelijker” moeten worden in het geven van ruimte om af te wijken van protocollen.

Een voorbeeld van die cultuurverandering – die volgens Groothuis al in gang was gezet voor de cyberaanval – is het besluit van LIS om risicovolle applicaties te blokkeren. Als het gaat om risico’s op het gebied van cyberveiligheid, dan zou de keuzevrijheid volgens hem “kleiner en duidelijker” moeten zijn. “En dat betekent ook soms nee zeggen.”

Nog steeds voelbaar

Dit soort maatregelen zouden moeten bijdragen aan een grotere cyberweerbaarheid. En die is volgens Groothuis nodig, want zelfs nu de hacker zijn uiteindelijke doel niet heeft gehaald, waren de gevolgen voor de universiteit aanzienlijk. Tot op de dag van vandaag zijn die nog voelbaar.

“Dat merk je vooral nog in het onderwijs. Enerzijds omdat in de periode van de cyberaanval veel docenten en ondersteuners bezig waren met de aanval en daardoor andere zaken zijn blijven liggen die nu ingehaald moeten worden. Het tweede dat speelt, is dat we studenten de mogelijkheid hebben geboden om bij een geldige reden tentamens op een ander moment te maken. Dat werkt door tot en met het vierde kwartiel.”

Groothuis hoopt dat na de zomer de rust volledig weergekeerd zal zijn. Hoe dan ook mogen alle betrokkenen met trots terugkijken op hoe ze met de crisisperiode om zijn gegaan, stellen zowel Groothuis als De Vries. Dat staat nu ook zwart op wit bevestigd in een rapport van het COT Instituut voor Veiligheids- en Crisismanagement, dat een leerevaluatie uitvoerde naar het crisismanagementproces.