In januari 2025 werd de Technische Universiteit Eindhoven (TU/e) getroffen door een cyberaanval die niet alleen de universiteit zelf, maar ook de bredere onderwijssector wakker schudde. Deze aanval, die aanvankelijk begon met de toegang van een aanvaller via gestolen wachtwoorden, werd al snel gecompliceerd door privilege-escalatie, waarbij de aanvaller volledige controle kreeg over de systemen van de TU/e. Gelukkig werd de schade aanzienlijk beperkt dankzij de snelle en daadkrachtige reactie van het IT-team van de universiteit en hun samenwerking met gespecialiseerde incidentrespons-teams van Fox-IT en SURFsoc. Dit incident biedt belangrijke lessen voor andere organisaties, vooral in de onderwijssector, die met soortgelijke bedreigingen te maken kunnen krijgen.
De aanval: wat gebeurde er precies?
De cyberaanval begon op 6 januari 2025, toen de aanvaller toegang verkreeg tot de netwerken van de TU/e via een VPN-systeem. De aanvaller maakte gebruik van gestolen inloggegevens, vermoedelijk afkomstig van het dark web. Het VPN-systeem was onvoldoende beveiligd, omdat er geen gebruik werd gemaakt van Multi-Factor Authentication (MFA), waardoor de aanvaller in staat was om eenvoudig in te loggen met alleen gebruikersnamen en wachtwoorden. Dit benadrukt de belangrijke rol van MFA in de bescherming van toegangssystemen, vooral wanneer wachtwoorden in gevaar komen door eerdere datalekken.
Eenmaal binnen het netwerk van de TU/e begon de aanvaller zijn privileges snel te escaleren. Dit wordt een ‘privilege escalation’ genoemd, een techniek waarbij een aanvaller toegang krijgt tot meer geavanceerde rechten en zo de controle over de systemen uitbreidt. De aanvaller gebruikte de zogenaamde DCSync-aanval, een methode waarmee hij toegang verkreeg tot de domeincontrollers van de universiteit, en verwierf daarmee administratorrechten. Dit betekende dat de aanvaller nu volledige controle had over het netwerk en de systemen van de TU/e.
Het was pas op 11 januari, vijf dagen na de initiële toegang, dat de aanval werd ontdekt. SURFsoc, een beveiligingsmonitoringsdienst die de TU/e ondersteunt, detecteerde verdachte activiteit en gaf het alarm. Het incident werd onmiddellijk opgepakt door het IT-team van de TU/e, en met de hulp van Fox-IT’s incident response-team werd snel gereageerd. De aanval had zich in deze vijf dagen onopgemerkt kunnen voortzetten, maar gelukkig werd het systeem op tijd geïsoleerd, wat verdere schade voorkwam.
De snelle reactie van de TU/e en Fox-IT
Een van de belangrijkste factoren die de schade van deze cyberaanval hebben beperkt, was de snelle en effectieve reactie van de TU/e. Toen de aanval op 11 januari werd gedetecteerd, werd er onmiddellijk een incidentrespons in gang gezet. Het IT-team van de universiteit had al snel door dat de situatie ernstig was, mede door de signalen van SURFsoc en interne alarmering. Dit benadrukt het belang van alertheid en snelle actie wanneer een aanval wordt gedetecteerd.
Binnen enkele uren na de ontdekking van de aanval werd besloten om het netwerk van de TU/e offline te halen om verdere schade te voorkomen. Deze beslissing werd genomen in samenwerking met Fox-IT, die het incidentresponse-team van de universiteit ondersteunde. De keuze om het netwerk volledig los te koppelen van het internet was ingrijpend, maar noodzakelijk om te voorkomen dat de aanvaller meer schade zou aanrichten, zoals het versleutelen van bestanden of het stelen van grote hoeveelheden gegevens. Het netwerk bleef een week offline, zodat het IT-team en de incidentresponse-experts in alle rust de aanval konden onderzoeken en de systemen konden herstellen.
Tijdens de crisis zorgden Fox-IT en de TU/e ervoor dat ze voortdurend met elkaar communiceerden. Dit maakte het mogelijk om de situatie effectief te managen, belangrijke beslissingen snel te nemen en de voortgang van het herstel te volgen. De samenwerking tussen het IT-team van de universiteit en externe experts, zoals Fox-IT, was cruciaal voor het stoppen van de aanval en het herstellen van de systemen zonder verdere schade.
Les geleerd en maatregelen voor de toekomst
Hoewel de TU/e de schade van deze cyberaanval wist te beperken, zijn er belangrijke lessen te trekken uit het incident, die waardevol zijn voor andere organisaties, vooral in de onderwijssector. De belangrijkste les is het belang van goede netwerkbeveiliging, met name de inzet van Multi-Factor Authentication (MFA). Het gebruik van MFA had waarschijnlijk voorkomen dat de aanvaller toegang kreeg tot het netwerk, zelfs als hij over gestolen inloggegevens beschikte. Het incident benadrukt dus het belang van het implementeren van MFA op alle belangrijke toegangspunten binnen een organisatie.
Een andere belangrijke maatregel is netwerksegmentatie. Dit houdt in dat een netwerk wordt opgedeeld in kleinere, goed beveiligde segmenten, zodat de impact van een mogelijke inbraak beperkt blijft. Als het netwerk van de TU/e beter gesegmenteerd was, had de aanvaller waarschijnlijk niet de volledige controle over alle systemen kunnen krijgen. Netwerksegmentatie helpt niet alleen om aanvallen te beperken, maar maakt het ook gemakkelijker om incidenten sneller op te sporen en te isoleren.
Ook de bescherming van back-ups is van groot belang. Bij deze aanval probeerde de aanvaller de back-ups van de TU/e uit te schakelen, wat een gebruikelijke tactiek is bij ransomware-aanvallen. Het is daarom cruciaal om back-ups goed te beveiligen, bijvoorbeeld door ze fysiek of logisch gescheiden te houden van het netwerk waarop ze zijn opgeslagen. Dit maakt het moeilijker voor aanvallers om de back-ups te compromitteren.
Transparantie en samenwerking als model voor de toekomst
Wat de TU/e bijzonder onderscheidt in dit incident, is de transparante manier waarop de universiteit de informatie over de aanval deelde. In plaats van de aanval intern te houden of geheim te proberen houden, werd er openlijk gedeeld wat er was gebeurd, welke maatregelen er waren genomen, en welke lessen er waren geleerd. Deze openheid is van groot belang, niet alleen voor de slachtoffers van de aanval, maar ook voor andere organisaties die van deze ervaring kunnen leren.
De transparantie van de TU/e kan als voorbeeld dienen voor andere organisaties, zowel binnen de onderwijssector als daarbuiten. Door informatie over cyberincidenten te delen, kunnen andere instellingen hun beveiligingsmaatregelen verbeteren en zich beter voorbereiden op toekomstige aanvallen. De TU/e heeft door deze aanpak niet alleen haar eigen veiligheid vergroot, maar heeft ook bijgedragen aan de verbetering van de cybersecurity in de bredere gemeenschap. Deze samenwerking en informatie-uitwisseling tussen onderwijsinstellingen, overheidsdiensten en private sectoren is essentieel voor het versterken van de algehele digitale veiligheid.
Conclusie
De cyberaanval op de TU/e in januari 2025 heeft het belang van goede cybersecuritymaatregelen en snelle, doeltreffende incidentrespons benadrukt. De TU/e heeft door haar snelle actie en samenwerking met Fox-IT en SURFsoc ernstige schade weten te voorkomen. Het incident benadrukt de noodzaak voor universiteiten en andere organisaties om hun netwerken goed te beschermen, MFA in te schakelen, netwerken te segmenteren, en back-ups te beschermen.
De transparantie van de TU/e over het incident heeft bovendien laten zien hoe belangrijk het is om informatie te delen en te leren van cyberincidenten. Dit is niet alleen waardevol voor de getroffen organisatie, maar ook voor andere instellingen die zich willen wapenen tegen vergelijkbare dreigingen. De TU/e heeft bewezen dat openheid en samenwerking cruciale instrumenten zijn in de strijd tegen cybercriminaliteit.
Wat is?
- VPN (Virtual Private Network):
Een VPN is een technologie die een veilige verbinding maakt tussen een gebruiker en een netwerk via het internet. Het zorgt ervoor dat gegevens privé blijven door deze te versleutelen, wat voorkomt dat kwaadwillende actoren de gegevens kunnen afluisteren. - DCSync-aanval:
Een DCSync-aanval is een techniek waarbij een aanvaller toegang probeert te krijgen tot de wachtwoorden en andere vertrouwelijke informatie van een domeincontroller (een server die de toegang tot een netwerk beheert). De aanvaller doet dit door het imiteren van een legitieme server die de gegevens opvraagt. - Privilege escalation (privilege-escalatie)*:
Dit is het proces waarbij een aanvaller zijn toegangsniveau binnen een systeem verhoogt, bijvoorbeeld van een standaardgebruikersaccount naar een beheerdersaccount. Het geeft de aanvaller meer controle over de systemen en gegevens. - Break glass account:
Een break glass account is een speciaal account dat is ontworpen voor noodgevallen, wanneer normale beheeraccounts niet beschikbaar zijn. Het heeft meestal de hoogste rechten binnen het systeem, zodat beheerders snel toegang kunnen krijgen bij een crisis. - Forensische analyse:
Forensische analyse is het proces waarbij experts digitale gegevens onderzoeken om te begrijpen hoe een cyberaanval heeft plaatsgevonden, welke systemen zijn getroffen en of er gegevens zijn gestolen. Het helpt ook bij het achterhalen van de daders. - SURFsoc:
SURFsoc is een beveiligingsmonitoringdienst die wordt geleverd door SURF, de organisatie die IT-infrastructuur biedt aan onderwijsinstellingen in Nederland. Het helpt universiteiten bij het detecteren van beveiligingsdreigingen en aanvallen.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Reactie plaatsen
Reacties