De TU/e werd op 11 januari 2025 getroffen door een cyberaanval, deze week een jaar geleden. De universiteit haalde vervolgens zelf preventief haar netwerk offline. 

Oplettende IT’ers en de veiligheidstool Microsoft Defender for Endpoint zorgden ervoor dat de universiteit snel kon ingrijpen. Daarmee is voorkomen dat de aanvallers de netwerken konden afsluiten, om vervolgens losgeld te eisen. 

Financieel

De cyberaanval had nog veel sneller kunnen verlopen. Inmiddels is namelijk gebleken dat de hack het werk is van een groep die in de cybercrime tot de wereldtop behoort en beschikt over uiterst geavanceerde middelen. “Wijzelf en onderzoeksbureau Fox-IT – het bureau dat de TU/e ondersteunde bij het interne onderzoek - dachten aan een laag tot medium geavanceerde groep”, zegt Chief Information Security Officer (CISO) Joost de Jong. Die conclusie trokken zij uit het gedrag van de hackers. 

“Dat blijkt nu toch niet zo: de aanval is hoogstwaarschijnlijk gepleegd door een van de meest actieve partijen ter wereld”, zegt de CISO. De naam van de hackersgroep wil De Jong noch de politie noemen, in het belang van het lopende onderzoek. 

“De groep die de politie op het oog heeft, is primair financieel georiënteerd”, deelt hij wel. Hij verwacht daarom niet dat de hackers in opdracht werkten van een ander land en uit waren op kennisspionage. De universiteit zegt zelf ook geen indicatie te hebben dat er een grootschalig datalek heeft plaatsgevonden na de digitale inbraak, aldus De Jong.

Opsporing

De IT-specialisten van de TU/e mogen zelf geen strafrechtelijk onderzoek doen naar de hack; alleen de politie heeft dat mandaat. De Jong heeft onlangs nog een update gekregen over het politieonderzoek. “Meteen na de aanval deden we aangifte en deelden we alle gegevens die we erover hadden”, blikt hij terug. 

“Wij mogen niet inbreken op de servers van de daders of data vorderen. De politie kan wél digitaal bewijs opvragen. In dit geval in het buitenland.” 

Welk land de thuisbasis van de hackers is, wil De Jong niet zeggen, maar hij weet dat na het politieverzoek bij internationale partners veel data boven water zijn gekomen. De politie zelf kan geen inhoudelijke uitspraken doen zolang het onderzoek loopt.

Natuurlijke sporen

“Ik heb geen idee hoe lang het onderzoek nog zal voortduren, de politie is aan zet”, zegt de CISO. “De rechercheurs zoeken verder om van data tot natuurlijke sporen te komen.” Dat wil zeggen: de misdaad verbinden aan mensen met een identiteit, om die vervolgens te kunnen arresteren. 

Het merendeel van de data moet nog worden doorzocht. Dat klinkt misschien vreemd na een jaar, maar er zijn extreem veel gegevens gevonden op de servers van de criminelen en daar kan nog van alles uitkomen. De politie moet met een stofkam door de ‘bedrijfsvoering’ van de aanvallers om te zoeken naar TU/e-gerelateerde data. Dat kan nog maanden in beslag nemen.