De cyberaanval op het 'European Medicines Agency' (EMA) in Amsterdam is niet zomaar uit de lucht komen vallen. Een anonieme bron zegt dat het gaat om een doelgerichte aanval. Volgens de tipgever zit ‘een buitenlandse inlichtingendienst’ achter de digitale aanval. Welke regering hiervoor verantwoordelijk, weet hij niet of wil hij niet kwijt.

Hack op EMA

Het is inmiddels bijna twee weken geleden dat het medicijnagentschap het doelwit was van hackers. EMA deelde destijds bar weinig details van de aanval, behalve dat dat er een onderzoek is gestart naar het voorval. Pfizer/BioNTech meldde in een gezamenlijke persverklaring dat er geen persoonsgegevens waren gestolen of informatie- en computersystemen van Pfizer en BioNTEch waren geïnfiltreerd.

De afgelopen weken heeft het agentschap meer informatie naar buiten gebracht over de hackaanval. Om te beginnen was er bij de cyberaanval “een beperkt aantal documenten van derden” onrechtmatig geraadpleegd. De betreffende partijen zijn daarvan op de hoogte gebracht. De bedrijfsvoering was op geen enkel moment in gevaar. In de meest recente update (dinsdag 22 december) zegt het agentschap dat de hackers toegang hadden tot slechts één IT-applicatie. Ze zochten gericht informatie naar COVID-19. Het onderzoek naar de aanval is nog altijd in volle gang.

Wie er achter de aanval op het medicijnagentschap zit, is nog altijd een raadsel. Tot op heden heeft niemand de verantwoordelijkheid opgeëist of zich uitgelaten over de mogelijke dader. Behalve de Duitse regionale omroepen WDR en BR. Volgens deze media zit ‘een buitenlandse inlichtingendienst’ achter de aanval op het agentschap.

Anonieme bron

Een bron van de NOS bevestigt de berichtgeving van de Duitse media. Net als onze oosterburen stelt de tipgever dat een inlichtingendienst uit het buitenland verantwoordelijk is voor de aanval op EMA. Net als de Duitse media weet hij niet of kan hij niet zeggen welk land de opdracht heeft gegeven voor de aanval. Dergelijke spionage- en inlichtingenpraktijken worden veelal gekoppeld aan landen als Rusland, China, Iran of Noord-Korea.

Verder wil de bron kwijt dat de hack aan het licht kwam toen een medewerker op ongebruikelijke tijdstippen ingelogd was op de server van EMA. De medewerker zelf had niet ingelogd, de aanvallers misbruikten zijn account om toegang te krijgen tot informatie op het netwerk van het agentschap. WDR en BR bevestigen deze lezing.

Corona vaccins

Het Europese medicijnagentschap is momenteel druk doende om corona vaccins te keuren. Afgelopen maandag keurde de instantie het vaccin van Pfizer/BioNTech goed. De eerste Europese lidstaten beginnen na de kerstdagen met het vaccineren van de bevolking. Ons land start daarmee op vrijdag 8 januari.

Naast het vaccin van Pfizer/BioNTech keurt EMA op dit moment ook het corona vaccin van onder meer Moderna en AstraZeneca. Het agentschap bestudeert de werking van de vaccins en krijgt hiervoor uitgebreide documentatie van de farmaceuten. De anonieme bron vertelt tegenover de NOS dat de aanvallers op zoek waren naar deze informatie, alsook informatie over de toelatingsprocedure en betrokkenen bij het vaccin onderzoek.

Tweestapsverificatie weten te omzeilen

Later probeerden de daders ook de systemen van EMA aan te vallen. Op dat moment grepen de systeembeheerders van het agentschap in en zagen ze logins op tijdstippen die buiten de kantooruren vielen. Verder beweert de bron dat de hackers tweestapsverificatie hebben weten te omzeilen. Naast een gebruikersnaam en wachtwoord heb je dan ook een code of OTP (One-Time Password) nodig om in te loggen. Deze token wordt veelal via de smartphone gedeeld om er zeker van te zijn dat hij niet in de verkeerde handen belandt. Hoe de aanvallers deze extra beveiligingslaag hebben weten te ontduiken, is onbekend.

Tot slot blijkt uit informatie waar de NOS de hand op heeft weten te leggen dat de Europese medicijnwaakhond ongerust is. Bovendien vreest EMA dat ook andere organisaties die zich met het coronavirus bezighouden mogelijk het doelwit zijn van de hackers.

Reeks met aanvallen

Over doelwitten gesproken, eind november probeerden, naar verluidt, Noord-Koreaanse staatshackers AstraZeneca te infiltreren. Daarbij deden de aanvallers zich voor als recruiters en probeerden medewerkers te misleiden om geïnfecteerde bijlage te openen. Deze aanval mislukte.

Begin deze maand waarschuwde het Security X-Force Team van IBM dat fabrikanten van koelapparatuur het risico lopen om het doelwit te worden van een gerichte phishing aanval. Hun producten staan momenteel in de belangstelling, omdat de corona vaccins onder zeer lage temperaturen vervoerd en opgeslagen moeten worden. De hackers deden zich voor als hooggeplaatste medewerkers van Haier Biomedical. Door deze valse identiteit aan te nemen, verstuurden de hackers e-mails naar organisaties die oprecht dachten dat het bericht van het bedrijf afkomstig was. In de e-mail waren kwaadaardige HTML-bijlagen toegevoegd die naar nep websites leidden. Deze hackers methode noemen we ook wel Business Email Compromise (BEC).