Cyberaanval door achterhalen wachtwoord legt Aeroflot plat
Het Russische Aeroflot heeft meer dan een probleem nu het door een succesvolle cyberaanval is getroffen. Cyberaanvallen over en weer zijn een vaste component in oorlog die Rusland tegen Oekraïne voert en de doelwitten daarvoor worden gekozen met het oog op maximale ontwrichting.
Een luchtvaartmaatschappij platleggen is voorbeeld van grote ontwrichting. Aeroflot is ook nog eens de grootste in Rusland. Een land dat zo groot is dat er 11 tijdzones zijn. En sinds maandag stijgen er van de tientallen luchthavens verspreid over die enorme landmassa geen toestellen van Aeroflot meer op, de paar die in de lucht waren tijdens de aanval zijn veilig geland.
In de eerste berichten die over de aanval doorsijpelden was sprake van het compleet overnemen en daarna wissen van 7.000 servers plus het achteroverdrukken van 20TB aan data. Dat geringe datavolume leidde tot veel reacties van ongeloof. Wie een dergelijk grote IT omgeving aanvalt moet een veelvoud van 20TB aan data aantreffen.
Deze aanname is begrijpelijk, want bij cyberaanvallen is datadiefstal in de regel het hoofddoel. In dit geval is dat duidelijk niet het geval geweest. We hebben hier te maken met een aanval die op het wipen en vernietigen uit was. Dat is gelukt, want 7.000 fysieke en virtuele servers onbruikbaar maken staat gelijk aan behoorlijk grote schade.
Een dag na de aanval is de chaos op de Russische luchthavens nog steeds groot en begint ook bekend te worden wat de aanval heeft mogelijk gemaakt.
Rusland heeft geen legale toegang tot Westerse technologie en geen eigen alternatieven. Een groot deel van de IT draait daarom op verouderde Windows versies. Dat heeft het latere werk van de cyberaanvallers wel erg makkelijk gemaakt, maar ze moesten wel eerst toegang tot het netwerk dat draait op XP en 2003 krijgen.
Wachtwoord
Daarvoor was het nodig toegang te krijgen tot een account met veel rechten. De ceo van Aeroflot Sergey Aleksandrovsky heeft dat mogelijk gemaakt. Sinds zijn aantreden in 2022 heeft hij zijn wachtwoord nooit veranderd. Woorden schieten te kort bij deze domheid.
update 30-07
Online is gewezen op het wachtwoordbeleid bij Russische staatsbedrijven. Het zijn niet de gebruikers, zoals Sergey Aleksandrovsky, die hun wachtwoord aanmaken en bijhouden. Dat is het werk van de nationale veiligheidsdienst (!)
(dit artikel verscheen eerder op ITchannelPRO)
Meer over
Lees ook
Microsoft OAuth App Impersonation campagne leidt tot MFA phishing
Proofpoint heeft een cluster van activiteiten geïdentificeerd die Microsoft OAuth-applicaties aanmaken en omleidingen creëren die leiden tot kwaadaardige URL's die credential phishing mogelijk maken. De activiteit werd begin 2025 voor het eerst waargenomen en is nog steeds aan de gang.
Orange Business opent nieuwe divisie voor defensie en nationale veiligheid
Orange versterkt zijn inzet voor soevereiniteit met de oprichting van een nieuwe divisie. Deze is toegewijd aan defensie en nationale veiligheid, geïntegreerd in Orange Business. Deze beslissing ligt in het verlengde van het “Lead the Future” plan en verwerkelijkt Orange’s focus op strategische verticals met grote soevereiniteitsbelangen.
Fox-IT beveiligt NAVO-top 2025 als IT-securitypartner
Cybersecurityspecialist Fox-IT, onderdeel van de NCC Group, heeft opgetreden als IT-beveiligingspartner van de NAVO-top 2025 in Den Haag. Het uiterst complexe karakter van dit project bracht de unieke krachten en capaciteiten van Fox-IT samen, volledig in lijn met de missie van NCC Group om een veiligere digitale toekomst te creëren.