Waarschuwing AIVD voor alle netwerkbeveiligers

Met een melding die aan duidelijkheid niets te wensen overlaat heeft de AIVD eerder deze ochtend alle netwerkbeveiligers aan het werk gezet.

Ook Nederland is doelwit geweest van de wereldwijde cyberspionagecampagne van de Chinese hackorganisatie Salt Typhoon. Dat melden de Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD vandaag.

Wat opvalt is aan de AIVD melding is dat de dienst zo duidelijk maakt in welke hoek de doelwitten te vinden zijn “Het gaat hierbij niet om grote telecommunicatieproviders, maar om kleinere Internet Service - en Hosting providers.” 

Die omschrijving komt overeen met een groot deel van lezers van ITchannelPRO. Om die reden adviseren we iedereen het persbericht van de dienst aandacht te lezen. In dat bericht wordt ook gewezen op een gezamenlijke document (PDF van 37 pagina’s) dat door meer dan 20 veiligheidsdiensten is opgesteld.

De vrij vertaalde samenvatting daarvan staat hieronder 

Door de Volksrepubliek China (VRC) gesponsorde cybercriminelen richten zich op netwerken wereldwijd, waaronder, maar niet beperkt tot, telecommunicatie-, overheids-, transport-, accommodatie- en militaire infrastructuurnetwerken. Hoewel deze criminelen zich richten op grote backbone-routers van grote telecommunicatieproviders, evenals provider edge (PE) en customer edge (CE) routers, maken ze ook gebruik van gecompromitteerde apparaten en vertrouwde verbindingen om door te dringen tot andere netwerken.

Deze actoren wijzigen vaak routers om permanente, langdurige toegang tot netwerken te behouden. Deze activiteit overlapt gedeeltelijk met de rapportage over cyberdreigingsactoren door de cyberbeveiligingssector, die gewoonlijk wordt aangeduid als Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 en GhostEmperor, onder andere. De auteurs hanteren geen specifieke commerciële naamgevingsconventie en verwijzen in dit advies naar degenen die verantwoordelijk zijn voor de cyberdreigingsactiviteiten in meer algemene termen als “Advanced Persistent Threat (APT)-actoren”. 

Deze cluster van cyberdreigingsactiviteiten is waargenomen in de Verenigde Staten, Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en andere gebieden wereldwijd. Dit Cybersecurity Advisory (CSA) bevat observaties uit verschillende onderzoeken van de overheid en de industrie waarbij APT-actoren zich richtten op interne bedrijfsomgevingen en op systemen en netwerken die rechtstreeks diensten leveren aan klanten. Dit CSA beschrijft de tactieken, technieken en procedures (TTP's) die door deze APT-actoren worden gebruikt om detectie en het opsporen van bedreigingen te vergemakkelijken, en biedt richtlijnen voor risicobeperking om het risico van deze APT-actoren en hun TTP's te verminderen.

Dit CSA wordt uitgegeven door de volgende auteurs en medeondertekenende instanties (lange lijst)

De auteurs van dit document dringen er bij netwerkbeveiligers sterk op aan om op zoek te gaan naar kwaadaardige activiteiten en de maatregelen in deze CSA toe te passen om de dreiging van door de Chinese staat gesponsorde en andere kwaadaardige cyberactiviteiten te verminderen.

Alle hierin genoemde maatregelen kunnen worden gewijzigd als er nieuwe informatie beschikbaar komt en als de lopende gecoördineerde operaties daar aanleiding toe geven. Netwerkbeveiligers moeten ervoor zorgen dat alle maatregelen die zij naar aanleiding van de CSA nemen, in overeenstemming zijn met de lokale wet- en regelgeving binnen de rechtsgebieden waar zij actief zijn.