Fox-IT was doelwit van Man-in-the-Middle aanval
Fox-IT is op 19 september doelwit geweest van een Man-in-the-Middle (MitM)-aanval. Een aanvaller heeft de DNS-gegevens voor de domeinnaam Fox-IT.com aangepast bij de domein registrar van het bedrijf, waarbij verkeer werd omgeleid naar een externe server. Hierdoor kon verkeer dat was bedoeld voor de webserver van Fox-IT worden onderschept.
Dit maakt het beveiligingsbedrijf zelf bekend. De aanvaller is erin geslaagd gedurende een periode van 10 uur en 24 minuten verkeer bedoeld voor de server van Fox-IT om te leiden naar een externe server. De aanval was specifiek gericht op ClientPortal, een webapplicatie van Fox-IT voor het veilig uitwisselen van documenten met klanten, toeleveranciers en andere organisaties.
Kleine hoeveelheid data onderschept
Fox-IT vermoedt dat de aanvaller als doel had een langdurige MitM aanval op te zetten. Dit is dus niet gelukt. Ondanks dat de aanval relatief snel werd gedetecteerd, is de aanvaller er toch in geslaagd een 'kleine hoeveelheid bestanden en informatie' te onderscheppen.
Uit een analyse van Fox-IT blijkt dat gedurende de periode dat het DNS-verkeer werd omgeleid negen individuele gebruikers hebben ingelogd. De aanvaller heeft de inloggegevens van deze gebruikers in handen weten te krijgen. Fox-IT geeft aan dat de aanvaller met deze gegevens echter geen toegang kon krijgen tot ClientPortal. In totaal zijn twaalf bestanden onderschept door de aanvaller, waarvan drie bestanden vertrouwelijk waren. Daarnaast is één telefoonnummer onderschept en heeft de aanvaller namen en e-mailadressen van ClientPortal gebruikers in handen gekregen. Fox-IT geeft aan getroffen gebruikers te hebben geïnformeerd. Ook heeft de aanvaller toegang gekregen tot namen van accounts in ClientPortal. Het gaat hierbij om een overzicht van organisaties waar Fox-IT eerder documenten mee heeft uitgewisseld, zoals klanten, partners en leveranciers.
E-mailverkeer onderschept
Daarnaast is gedurende een periode van maximaal tien minuten het e-mailverkeer naar Fox-IT door de aanvaller omgeleid naar een externe e-mailprovider. Doordat de distributie van e-mail op internet gedecentraliseerd plaatsvindt, is Fox-IT er niet in geslaagd vast te stellen welke specifieke e-mailberichten de aanvaller heeft kunnen ingezien.
Fox-IT geeft aan dat het incident 'kleinschalig en beperkt' is gebleven dankzij meerlaagse beveiliging en de aanwezigheid van detectie- en reactiemechanismen. Het bedrijf heeft de politie op de hoogte gesteld van de aanval, die een onderzoek is gestart naar het incident. Meer informatie is beschikbaar in een blogpost die Fox-IT over de aanval heeft gepubliceerd.
Meer over
Lees ook
Microsoft Defender Suite en een SOC houden remote werknemers veilig
Nu de behoefte aan veilig werken exponentieel toeneemt, is het beveiligen van externe en hybride werknemers een steeds groter probleem geworden. Voorheen gebruikten bedrijven beveiliging architecturen die gebaseerd waren op het beschermen van medewerkers die werkzaam waren in on-premises kantooromgevingen.
CISO’s dragen bij aan de algehele strategie voor risicobeheer
CISO’s dragen bij aan de algehele strategie voor risicobeheer Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken.
WatchGuard: Remote Access Software steeds vaker misbruikt
Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1